La conformité saoudienne en matière de vie privée, de données et de cybersécurité est le système opérationnel de l’usage des données dans le Royaume : la PDPL régit les données personnelles, la Data Governance Platform de SDAIA soutient les services de conformité vie privée, les politiques NDMO structurent classification, partage et open data, et les contrôles NCA définissent les preuves centrales de cybersécurité. Une entreprise doit traiter gouvernance des données et vie privée comme un seul examen avant de collecter, héberger, transférer, analyser ou entraîner de l’IA sur des données saoudiennes. Le test immédiat est de savoir si l’organisation peut prouver avant le lancement le traitement licite, la classification, l’examen des transferts, les contrôles de sécurité, la rétention, la réponse aux incidents et la responsabilité [S1], [S2], [S3], [S4].
C’est particulièrement important pour les fournisseurs entrant dans des contrats publics, cloud, santé, finance, télécoms, villes intelligentes et IA. Une notice de confidentialité seule ne prouve pas que la vie privée est protégée. Une région cloud locale seule ne prouve pas un transfert licite ni la résidence des données. Un certificat de sécurité générique seul ne cartographie pas un système aux exigences NDMO, PDPL, NCA, CST, DGA et sectorielles.
Qui contrôle quoi
L’autorité saoudienne est distribuée par fonction. SDAIA est l’autorité centrale des données et de l’IA pour les documents liés à la PDPL et les services de la Data Governance Platform. La plateforme indique viser la gestion et la gouvernance des données ainsi que la protection des données personnelles, et liste des services tels que l’évaluation d’impact sur la vie privée, la notification de violation de données personnelles, les rapports et plaintes, la clarification d’avis juridique, l’approbation de méthodes de partage des données, l’auto-évaluation et l’évaluation de l’éthique de l’IA [S2].
Le NDMO constitue la couche nationale de gouvernance des données. Ses politiques visent le plus directement les données gouvernementales et les écosystèmes du secteur public, mais elles comptent pour les fournisseurs privés lorsque ceux-ci hébergent, enrichissent, intègrent, analysent, sécurisent ou manipulent autrement des données du secteur public. La NCA est le point de référence cybersécurité pour les contrôles portant notamment sur protection des données et informations, cryptographie, sauvegarde, cybersécurité des tiers et cybersécurité du cloud ou de l’hébergement [S3].
La CST régule la fourniture de services de cloud computing. Les politiques de gouvernement numérique de la DGA exigent que la conception des services numériques publics tienne compte des exigences de SDAIA sur la confidentialité des données et des exigences de cybersécurité de la NCA, et orientent les entités publiques vers les solutions cloud conformément à Cloud First et aux règles cloud de la CST [S5], [S6]. Les régulateurs sectoriels peuvent ajouter des obligations plus strictes pour la finance, la santé, l’assurance, les télécoms, l’énergie, l’éducation, le transport et les marchés de capitaux.
Pourquoi cela compte pour l’ambition IA saoudienne
L’ambition saoudienne en IA dépend d’un usage des données à haut niveau de confiance. Le lancement de HUMAIN a positionné une société détenue par le PIF sur l’infrastructure IA, les centres de données, les capacités cloud, les modèles et les solutions, tandis que l’annonce PIF-Google Cloud décrivait un hub IA près de Dammam pour les modèles arabes et les applications IA propres à l’Arabie saoudite, sous réserve d’approbations réglementaires [S7], [S8]. Ces projets ont besoin de données gouvernées, pas seulement de calcul.
Pour les investisseurs et opérateurs, la question clé n’est pas de savoir si l’Arabie saoudite construit une capacité IA. Elle est de savoir si un jeu de données précis peut être traité, classifié, partagé, transféré, hébergé, protégé et réutilisé légalement pour l’analytique ou le développement de modèles. Une faible gestion des données personnelles ralentit les approbations, une faible classification crée un risque de fuite, de faibles contrôles cloud limitent les charges de travail, et une preuve d’audit fragile rend les achats plus difficiles.
Carte institutionnelle
Rôles SDAIA, NDMO, HUMAIN, MCIT et CST
La carte de conformité doit être lue par rôle, non par acronyme seul.
| Institution | Rôle central | Ce qu’une entreprise doit vérifier |
|---|---|---|
| SDAIA | Autorité des données et de l’IA, incluant les documents officiels liés à la PDPL | Texte PDPL actuel, documents d’application, services de plateforme, canaux de plaintes et de violations, et orientations de gouvernance IA [S1], [S2] |
| NDMO | Couche nationale de politique de gouvernance des données | Directives de classification des données, partage, open data, liberté d’information, enregistrements, propriété, rétention et traitement des données du secteur public [S4] |
| NCA | Contrôles nationaux de cybersécurité | Preuves sur actifs, accès, cryptographie, sauvegarde, incidents, tiers, cloud, hébergement et protection des données [S3] |
| CST | Régulation du cloud et des communications | Règles de fourniture de services cloud, obligations des fournisseurs, droits des clients et exigences d’enregistrement ou de qualification [S5] |
| DGA | Cadre réglementaire du gouvernement numérique | Exigences sur plateformes publiques, cloud, privacy by design, cybersécurité et services numériques [S6] |
| HUMAIN et sociétés IA du PIF | Couche commerciale d’infrastructure et de solutions IA | Capacité de la charge de travail, du pipeline de données, du modèle de support et du chemin de transfert à passer les contrôles vie privée, cyber, cloud et sectoriels [S7], [S8] |
L’implication pratique est simple : il n’existe pas de case de conformité unique pour les projets de données saoudiens. Un service numérique peut nécessiter un examen PDPL, une gouvernance des données de type NDMO, une cartographie des contrôles NCA, une analyse cloud CST, un alignement avec les services publics DGA, un examen par régulateur sectoriel et des preuves contractuelles.
Secteur public, PIF et secteur privé
Les entités publiques ont l’exposition NDMO la plus claire parce que les politiques nationales de gouvernance des données visent la gestion des données gouvernementales. Elles doivent disposer de propriété, catalogage, classification, contrôles de partage, examen open data, rétention et preuves d’audit avant l’échange ou la publication des données [S4].
Les sociétés du PIF et champions nationaux se situent dans une zone plus complexe. Ils peuvent agir comme sociétés commerciales ordinaires, plateformes stratégiques soutenues par l’État, fournisseurs du secteur public, opérateurs de centres de données, prestataires IA ou acteurs de secteurs régulés. Leur posture de conformité doit souvent satisfaire les clients et partenaires autant que les régulateurs formels.
Les sociétés privées ne doivent pas supposer que la PDPL est le seul sujet. Un éditeur logiciel, fournisseur cloud, intégrateur de systèmes, développeur IA, fournisseur de services managés ou consultant analytique peut devoir montrer une politique de classification et de traitement des données, des registres d’activités de traitement, une cartographie des transferts, des preuves de sécurité cloud, des procédures d’incident et des contrôles de sous-traitants avant qu’un client saoudien sérieux n’approuve le déploiement.
Technologie et infrastructure
Cloud et centres de données
Les décisions cloud et data center doivent commencer par la classification. Les Essential Cybersecurity Controls de la NCA incluent propriété des données et informations, classification et labellisation, confidentialité, cryptographie, sauvegardes, cybersécurité des tiers et exigences de cybersécurité pour l’hébergement ou le cloud. Ils appellent aussi à classifier les données avant leur hébergement sur des services cloud ou d’hébergement, et à héberger et stocker l’information de l’organisation en Arabie saoudite dans le contexte de contrôle applicable [S3].
Cela ne signifie pas que chaque charge de travail saoudienne appelle une réponse unique. Un jeu de données public ouvert, une base interne d’achats, un dossier de santé, un journal de service citoyen, une table de transactions financières, un corpus d’entraînement IA et un ticket de support contenant des données personnelles peuvent créer des obligations différentes. La même architecture peut aussi générer des problèmes de transfert cachés par l’administration à distance, la télémétrie, les sauvegardes, les outils d’observabilité, l’évaluation de modèles, les captures d’écran de helpdesk ou le support offshore.
Les règles cloud de la CST ajoutent une couche de marché et de régulation. Sa décision de 2023 a approuvé la version 4 des Cloud Computing Service Provisioning Regulations et des guides associés, remplaçant la version 3 du Cloud Computing Regulatory Framework et entrant en vigueur le 10 octobre 2023 [S5]. La politique DGA ajoute une couche opérationnelle secteur public en orientant les plateformes numériques gouvernementales vers l’adoption cloud, en alignement avec MCIT Cloud First et les règles cloud de la CST [S6].
Modèles, puces et plateformes
Les systèmes IA héritent du statut juridique et sécuritaire de leurs données. Un modèle utilisant des données clients saoudiennes, des dossiers du secteur public, des données de santé, d’identité, de crédit, de localisation, d’emploi ou de services aux citoyens ne doit pas être approuvé sur la seule base de sa performance. Il lui faut traçabilité des données, finalité, base licite, classification, rétention, pseudonymisation ou masquage, gestion des droits, journalisation, supervision humaine et contrôles cyber. [S6]
Les AI Ethics Principles de SDAIA relient la gouvernance IA à la vie privée, à la sécurité, à la responsabilité, à l’équité, à la transparence, à la fiabilité et à la conception centrée sur l’humain. Le cadre fait de la gouvernance des données une partie du cycle de vie de l’IA, non un exercice documentaire tardif [S9].
C’est ici que les normes ISO peuvent aider sans remplacer l’analyse locale. ISO/IEC 27001 peut soutenir la gestion de la sécurité de l’information, ISO/IEC 27701 peut soutenir la gestion de l’information relative à la vie privée, et ISO/IEC 42001 peut soutenir les systèmes de management de l’IA. La question utile pour une norme ISO de protection des données est de savoir si les preuves de certification se cartographient réellement aux obligations PDPL, au traitement NDMO des données, aux contrôles NCA, aux règles cloud CST et aux contrats sectoriels.
Adoption gouvernementale
L’adoption publique est le test le plus difficile parce que les systèmes publics peuvent toucher identité, prestations, licences, éducation, santé, justice, paiements, achats et services critiques. La politique de conception des services numériques de la DGA pointe explicitement vers privacy by design et privacy by default selon les exigences de SDAIA, ainsi que vers les exigences de cybersécurité de la NCA [S6].
Pour un système du secteur public, les preuves opérationnelles doivent inclure :
| Domaine de preuve | Ce qu’il faut montrer |
|---|---|
| Inventaire des données | Systèmes, jeux de données, propriétaires, finalités, champs, sources et destinataires |
| Classification des données | Étiquette approuvée, exigences de traitement, restrictions et responsable de revue |
| Protection des données personnelles | Catégories de données personnelles, données sensibles, personnes concernées, rôles de responsable de traitement et sous-traitant |
| Preuve ROPA de vie privée | Finalités de traitement, destinataires, rétention, transferts, garanties et responsable identifié |
| Examen des transferts | Pays, sous-traitants, accès distant, sauvegardes, support, garanties et évaluation des risques |
| Contrôles cyber | Accès, chiffrement, journalisation, gestion des vulnérabilités, sauvegarde, réponse et contrôles fournisseurs |
| Contrôles IA | Provenance des jeux de données, évaluation, monitoring du modèle, revue des biais, supervision humaine et escalade d’incident |
Politique et conformité
Gouvernance des données
La gouvernance des données est le pont entre vie privée et cybersécurité. Sans inventaire ni modèle de classification, une organisation ne peut pas savoir de manière fiable si elle peut traiter des données personnelles, publier un jeu de données, partager des données avec un fournisseur, déplacer des charges de travail dans le cloud, conserver des journaux, entraîner un système IA ou transférer des enregistrements hors du Royaume.
Un exemple de politique de classification des données prêt pour l’Arabie saoudite doit définir étiquettes, propriétaires, niveaux d’accès, permissions de partage, règles de chiffrement, règles d’hébergement cloud, restrictions de transfert, rétention, destruction, examen de publication et chemins d’escalade. La politique doit aussi expliquer comment les exceptions sont approuvées et comment les preuves sont conservées. Pour le travail public, la politique doit être cartographiée aux documents NDMO et aux exigences du client plutôt que copiée d’un modèle mondial générique [S4].
Une plateforme open data est un canal de publication contrôlé, non un dépôt brut. Le National Data Bank décrit l’Open Data Platform comme un espace où entités gouvernementales et organisations du secteur privé peuvent publier des jeux de données au public pour la transparence, l’innovation et la responsabilité ; la même page liste des plateformes de données comme Data Lake, Data Marketplace, National Data Catalog et Reference Data Platform [S10]. La publication nécessite toujours un examen de classification, vie privée, confidentialité, propriété, qualité, format et réutilisation.
Éthique de l’IA
L’éthique de l’IA compte parce que l’atteinte à la vie privée peut survenir avant une violation de sécurité. Elle peut se produire lorsqu’un modèle utilise les données pour une nouvelle finalité, infère des attributs sensibles, automatise une décision à fort impact, produit des résultats injustes, expose des détails personnels dans ses sorties ou rend un service public plus difficile à contester.
Les principes centraux de la protection des données restent pratiques : limitation de la finalité, minimisation, transparence, exactitude, sécurité, limitation de la conservation, droits des personnes concernées et responsabilité. L’IA augmente les enjeux parce qu’elle peut relier des jeux de données qui n’avaient pas été collectés ensemble, et parce que les sorties de modèles peuvent influencer éligibilité, priorisation, prix, traitement, recrutement, crédit, sécurité ou accès aux services publics.
Pour les projets IA saoudiens, la question opérationnelle minimale est de savoir si l’équipe peut expliquer quelles données sont utilisées, pourquoi cet usage est permis, comment elles sont classifiées, si elles contiennent des données personnelles ou sensibles, si elles quittent l’Arabie saoudite, combien de temps elles sont conservées, comment le risque de sortie est surveillé et qui est responsable lorsque le système échoue.
Vie privée et sécurité
La conformité PDPL commence par le rôle et la finalité. L’organisation doit savoir si elle est responsable de traitement, sous-traitant, participant conjoint, fournisseur, sous-traitant ultérieur, entité publique ou entreprise régulée sectoriellement. Elle doit documenter pourquoi elle traitera des données personnelles, quelles catégories sont impliquées, quelle notice ou base juridique s’applique, qui reçoit les données, combien de temps elles sont conservées et comment les droits des personnes concernées sont traités [S1], [S2].
Le texte PDPL exige des responsables de traitement qu’ils rendent les politiques de confidentialité disponibles avant la collecte, identifient les finalités de collecte et les droits des personnes concernées, mettent en œuvre des mesures organisationnelles, administratives et techniques, notifient l’autorité compétente après les incidents pertinents de données personnelles, et conduisent des évaluations d’impact en lien avec les produits ou services selon la nature de l’activité du responsable de traitement [S1].
Le transfert transfrontalier est un examen séparé. L’article 29 de la PDPL permet le transfert ou la divulgation hors du Royaume seulement pour des finalités spécifiées et sous conditions, notamment l’absence de préjudice à la sécurité nationale ou aux intérêts vitaux, un niveau de protection adéquat hors du Royaume et un transfert limité au minimum de données personnelles nécessaires [S1]. Le règlement de transfert ajoute des garanties telles que clauses contractuelles types, règles communes contraignantes et certificats d’accréditation dans certains cas, et exige des évaluations des risques pour certains transferts, notamment certains transferts de données sensibles sur une base continue ou à grande échelle [S11].
Les conditions de protection cyber doivent être traduites en preuves, non en slogans. Les contrôles NCA pointent vers propriété des données, classification, confidentialité, chiffrement en transit et au repos selon la classification et les exigences applicables, tests de sauvegarde et restauration, clauses contractuelles tiers, communication d’incident, évaluation des risques et contrôles d’hébergement ou cloud [S3]. La meilleure carte de preuves relie ces contrôles à la PDPL et au NDMO plutôt que de maintenir des tableurs séparés pour les équipes juridique, données et cyber.
Implications de marché
Opportunité fournisseurs
Les acheteurs saoudiens ont besoin de systèmes opérationnels de conformité. La demande la plus forte devrait concerner opérations de vie privée, catalogues de données, classification, sécurité cloud, cyber GRC, risque tiers, gouvernance IA, prévention des pertes de données, examen des transferts et preuves d’audit.
| Catégorie fournisseur | Besoin de l’acheteur saoudien |
|---|---|
| Opérations de vie privée | Notices, consentement lorsque requis, ROPA, demandes de droits, flux de violation, évaluation d’impact, rétention et preuves sous-traitants |
| Gouvernance des données | Catalogue, lignée, classification, qualité, approbations de partage, revue open data, preuve de destruction |
| Cyber GRC | Cartographie des contrôles NCA, registres d’actifs et de risques, revues tiers, incidents, vulnérabilités et artefacts d’audit |
| Sécurité cloud | Architecture d’hébergement saoudienne, chiffrement, identité, journaux, gestion de posture, sauvegarde et preuve de restauration |
| Gouvernance IA | Approbations de jeux de données, registres de risque modèle, dossiers d’évaluation, monitoring, supervision humaine et revue des sorties |
L’erreur commerciale consiste à vendre un outil sans carte de contrôles. Les clients saoudiens demanderont où les données sont hébergées, si les équipes de support peuvent y accéder, si les journaux contiennent des données personnelles, si l’entraînement de modèles est exclu, si les sous-traitants ultérieurs sont divulgués, si les étiquettes de classification sont appliquées et si les preuves résistent à un audit ou à une revue régulateur.
Contraintes de talents, énergie et géopolitique
La capacité d’exécution est la contrainte derrière de nombreux programmes de conformité. Les projets de données saoudiens exigent juristes vie privée, architectes cyber, ingénieurs cloud, data stewards, spécialistes de données arabes, équipes achats, responsables de gouvernance IA, intervenants incident et auditeurs capables de comprendre le même système sous différents angles.
L’énergie et la géopolitique comptent aussi. Les grands centres de données exigent électricité, refroidissement, puces, résilience réseau, conscience des contrôles à l’exportation, continuité fournisseurs et modèles de support sécurisés. Les annonces du PIF et de HUMAIN montrent une ambition soutenue par l’État, mais l’ambition officielle doit encore se convertir en charges de travail approuvées, opérations fiables et confiance client [S7], [S8].
Pour les entrants étrangers, la règle pratique est d’intégrer la conformité saoudienne dans l’architecture produit. Si un fournisseur peut prouver classification, gestion des données personnelles, contrôles de transfert, preuves cyber, options d’hébergement local et auditabilité avant la négociation, il réduit la friction d’achat. Si ces contrôles sont improvisés après signature du contrat, le projet devient plus lent, plus risqué et plus coûteux.
FAQ
Comment vie privée et données sont-elles liées dans la conformité saoudienne ?
Vie privée et données sont liées parce qu’une décision de confidentialité dépend de savoir quelles données existent, pourquoi elles sont collectées, qui les possède, comment elles sont classifiées, où elles sont hébergées, qui les reçoit, si elles sont personnelles ou sensibles, et si elles peuvent être partagées, transférées, conservées, supprimées ou publiées [S1], [S4].
Que signifie concrètement une vie privée protégée ?
Cela signifie que l’organisation peut prouver traitement licite, notices, gestion des droits, contrôle d’accès, minimisation des données, chiffrement ou autres mesures de sécurité, discipline de rétention, réponse aux incidents, notification de violation lorsque requise et garanties de transfert [S1], [S2], [S3].
Qu’est-ce qu’une politique de classification et de traitement des données ?
C’est une politique opérationnelle qui attribue des étiquettes aux données et définit les règles de traitement attachées à chaque étiquette. Elle doit couvrir propriété, accès, chiffrement, hébergement cloud, partage, transfert, rétention, suppression, revue open data et escalade.
Que doit inclure un exemple de politique de classification des données ?
Il doit inclure catégories de classification, propriétaires métiers, exemples au niveau des champs, lieux de stockage permis, règles d’accès, règles de partage, contrôles open data, limites de transfert, périodes de rétention, preuve de destruction et cadence de revue. Le travail public saoudien doit cartographier la politique aux lignes directrices NDMO ou aux exigences de classification propres à l’acheteur [S4].
Que signifie traiter des données personnelles ?
Traiter des données personnelles signifie manipuler des informations relatives à une personne identifiable, y compris collecte, stockage, organisation, usage, divulgation, transfert, publication, modification, conservation, suppression ou manipulation similaire. Journaux, tickets de support, sauvegardes, analyses et données d’entraînement IA peuvent tous être pertinents [S1].
Qu’est-ce qu’une preuve ROPA en protection des données ?
ROPA signifie records of processing activities, ou registre des activités de traitement. Dans les opérations saoudiennes, un ROPA utile doit montrer finalités, catégories de données, personnes concernées, responsables de traitement, sous-traitants, destinataires, durées de rétention, chemins de transfert, garanties et propriétaires responsables.
Qu’est-ce qu’une plateforme open data en Arabie saoudite ?
Le National Data Bank saoudien décrit l’Open Data Platform comme un canal permettant aux entités gouvernementales et aux organisations du secteur privé de publier des jeux de données au public pour la transparence, l’innovation et la responsabilité. La publication exige toujours une revue de classification, vie privée, qualité, propriété et sensibilité [S10].
Quels sont les principes centraux de la protection des données ?
Les principes pratiques sont limitation de la finalité, minimisation, transparence, exactitude, sécurité, limitation de la conservation, gestion des droits et responsabilité. Les projets saoudiens doivent les appliquer via PDPL, gouvernance NDMO, contrôles NCA et règles sectorielles lorsque pertinentes [S1], [S3], [S4].
Quelle norme ISO est utilisée pour la protection des données ?
ISO/IEC 27701 est l’extension courante de management de l’information relative à la vie privée à ISO/IEC 27001. Elle peut soutenir l’assurance, mais elle ne remplace pas les exigences saoudiennes PDPL, NDMO, NCA, CST, DGA ou sectorielles.
Est-ce un conseil juridique en matière de vie privée ?
Non. Il s’agit d’une analyse de conformité pour opérateurs et entrants de marché. Les obligations saoudiennes contraignantes doivent être vérifiées auprès de conseils qualifiés, des documents actuels SDAIA et NCA, des contrats en vigueur, des conditions cloud et des régulateurs sectoriels.
Qu’est-ce que la gestion des données personnelles ?
La gestion des données personnelles est le contrôle quotidien des données personnelles tout au long de la collecte, classification, usage, accès, partage, transfert, rétention, suppression, gestion des droits et réponse aux violations. C’est ainsi que la conformité PDPL devient opérationnelle plutôt que théorique.
Analyses associées
- Protection des données en Arabie saoudite
- Conformité saoudienne vie privée, données et cybersécurité
- Politiques NDMO de gouvernance des données
- NDMO : classification, partage, vie privée et conformité
- Principes d’éthique de l’IA en Arabie saoudite
Éléments de preuve supplémentaires à suivre
La conformité vie privée doit aussi être vérifiée avec la bibliothèque de documents réglementaires de la National Cybersecurity Authority, car PDPL, classification des données, contrôles cloud et obligations de cybersécurité se recoupent souvent dans les véritables revues fournisseurs [S12].
Sources
[S1] SDAIA Data Governance Platform, page réglementaire officielle, Personal Data Protection Law, consultée le 2026-05-26, https://dgp.sdaia.gov.sa/wps/portal/pdp/knowledgecenter/details/PDPL/
[S2] SDAIA Data Governance Platform, page officielle de plateforme, About the Platform, consultée le 2026-05-26, https://dgp.sdaia.gov.sa/wps/portal/pdp/about/objectives/
[S3] National Cybersecurity Authority, PDF officiel, Essential Cybersecurity Controls, consulté le 2026-05-26, https://nca.gov.sa/ecc-en.pdf
[S4] SDAIA / National Data Management Office, PDF officiel, National Data Governance Policies, consulté le 2026-05-26, https://sdaia.gov.sa/ndmo/Files/PoliciesEn001.pdf
[S5] Communications, Space and Technology Commission, page officielle de décision, approbation de la mise à jour des Cloud Computing Service Provisioning Regulations et de leurs guides, décision du 2023-10-08, consultée le 2026-05-26, https://www.cst.gov.sa/en/regulations-and-licenses/decisions/Regulation-1482
[S6] Digital Government Authority, page officielle de politiques, Digital Government Policies, publiée le 2024-03-10, consultée le 2026-05-26, https://dga.gov.sa/en/regulatory-documents/Digital-government-policies
[S7] PIF, communiqué officiel, lancement de HUMAIN par le prince héritier comme puissance mondiale de l’IA, 2025-05-12, consulté le 2026-05-26, https://www.pif.gov.sa/en/news-and-insights/press-releases/2025/hrh-crown-prince-launches-humain-as-global-ai-powerhouse/
[S8] PIF, communiqué officiel, création d’un hub IA avancé en Arabie saoudite avec Google Cloud, 2024-10-30, consulté le 2026-05-26, https://www.pif.gov.sa/en/news-and-insights/press-releases/2024/pif-and-google-cloud-to-create-advanced-ai-hub-in-saudi-arabia/
[S9] SDAIA, PDF officiel, AI Ethics Principles, septembre 2023, consulté le 2026-05-26, https://sdaia.gov.sa/en/SDAIA/about/Documents/ai-principles.pdf
[S10] National Data Bank / SDAIA, page officielle de plateforme, National Data Bank, dernière modification le 2026-01-26, consultée le 2026-05-26, https://data.gov.sa/en
[S11] SDAIA Data Governance Platform, PDF officiel, Regulation on Personal Data Transfer Outside the Kingdom, consulté le 2026-05-26, https://dgp.sdaia.gov.sa/wps/wcm/connect/e5bbede0-1119-4f70-b4ef-f043ce58d780/Regulation%2Bon%2BPersonal%2BData%2BTransfer%2BOutside%2Bthe%2BKingdom..pdf?CACHEID=ROOTWORKSPACE-e5bbede0-1119-4f70-b4ef-f043ce58d780-p6OMj1M&CONVERT_TO=url&MOD=AJPERES
[S12] National Cybersecurity Authority, bibliothèque officielle des documents réglementaires, source officielle du régulateur cybersécurité, consultée le 26 mai 2026, https://nca.gov.sa/en/regulatory-documents/