La Personal Data Protection Law (PDPL) de l’Arabie saoudite, promulguée par le décret royal M/19 en septembre 2021 et appliquée depuis septembre 2023, constitue la première législation complète du Royaume sur la protection des données. La PDPL établit un cadre régissant la collecte, le traitement, le stockage et le transfert des données personnelles, alignant l’Arabie saoudite sur les standards internationaux de protection des données tout en reflétant son environnement réglementaire propre. Les entreprises opérant en Arabie saoudite ou traitant des données provenant du Royaume doivent comprendre et respecter les exigences de la PDPL afin d’éviter des sanctions significatives.
Contexte législatif
La PDPL a été élaborée sous l’autorité de la Saudi Data and Artificial Intelligence Authority (SDAIA), qui supervise sa mise en oeuvre et son application. Avant la PDPL, la protection des données en Arabie saoudite reposait sur un ensemble fragmenté de règles sectorielles, incluant des dispositions de la loi anti-cybercriminalité et de la loi sur le commerce électronique. La PDPL consolide ces règles dispersées dans un texte unique et complet applicable à tous les secteurs et industries. La loi reflète l’ambition de l’Arabie saoudite sous Vision 2030 de construire une économie numérique moderne, capable d’attirer les investissements étrangers et les entreprises technologiques tout en protégeant les droits à la vie privée des citoyens.
Champ d’application
La PDPL s’applique à tout traitement de données personnelles effectué en Arabie saoudite, ainsi qu’au traitement des données personnelles de résidents saoudiens par des entités situées hors du Royaume. Les données personnelles sont définies largement comme toute donnée permettant d’identifier directement ou indirectement une personne, incluant noms, numéros d’identification, données de localisation, identifiants en ligne et données biométriques. La loi couvre les entités privées et publiques, avec certaines exemptions pour l’usage personnel ou familial, les activités d’application de la loi et les données traitées à des fins statistiques ou archivistiques lorsque des garanties appropriées sont en place.
Droits des personnes concernées
La PDPL accorde aux personnes concernées un ensemble complet de droits sur leurs données personnelles. Les individus ont le droit d’être informés de la collecte et de la finalité du traitement, le droit d’accéder à leurs données, le droit de demander la correction de données inexactes et le droit de demander leur destruction lorsqu’elles ne sont plus nécessaires à la finalité pour laquelle elles ont été collectées. Les personnes concernées disposent également du droit de retirer leur consentement à tout moment et d’obtenir leurs données dans un format lisible par machine pour la portabilité. Les responsables de traitement doivent répondre aux demandes dans des délais définis et ne peuvent pas facturer des frais excessifs pour y donner suite.
Consentement et traitement licite
Le consentement est la base juridique principale du traitement des données personnelles sous la PDPL. Il doit être explicite, informé et librement donné, et préciser la finalité du traitement. La loi reconnaît aussi d’autres bases juridiques, notamment la nécessité contractuelle, le respect d’obligations légales, la protection d’intérêts vitaux et l’intérêt légitime du responsable de traitement lorsque celui-ci ne prévaut pas sur les droits fondamentaux de la personne concernée. Les données personnelles sensibles, notamment données de santé, données génétiques, données biométriques et données révélant des convictions religieuses ou politiques, exigent un consentement explicite et des garanties supplémentaires.
Transferts transfrontaliers de données
La PDPL impose des conditions strictes au transfert de données personnelles hors d’Arabie saoudite. Les transferts ne sont permis que vers des pays offrant un niveau adéquat de protection des données déterminé par l’autorité compétente, ou lorsque des garanties appropriées sont en place, telles que règles d’entreprise contraignantes, clauses contractuelles types ou consentement explicite de la personne concernée. Les règlements d’application publiés par la SDAIA détaillent les mécanismes et conditions des transferts transfrontaliers. Les entreprises doivent réaliser des évaluations d’impact sur les transferts et conserver une documentation démontrant leur conformité.
Obligations de conformité des entreprises
Les organisations traitant des données personnelles doivent mettre en place des cadres robustes de gouvernance des données pour respecter la PDPL. Les obligations clés incluent la nomination d’un délégué à la protection des données lorsque requis, la tenue de registres des activités de traitement, la réalisation d’analyses d’impact pour les traitements à haut risque, la mise en oeuvre de mesures techniques et organisationnelles de sécurité appropriées, ainsi que la notification de l’autorité compétente et des personnes affectées en cas de violation de données. Les politiques de confidentialité doivent être transparentes, accessibles et rédigées en arabe. Les entreprises doivent également appliquer des pratiques de minimisation des données, en ne collectant que les données nécessaires à des finalités spécifiées et légitimes.
Sanctions et application
La PDPL prévoit des sanctions significatives en cas de non-conformité. Les violations peuvent entraîner des amendes allant jusqu’à 5 millions de SAR, soit environ 1,33 million de dollars, avec des sanctions plus élevées possibles en cas de récidive. Des sanctions pénales, incluant jusqu’à deux ans d’emprisonnement, s’appliquent aux violations impliquant la divulgation de données sensibles avec intention de nuire. L’autorité compétente peut mener des enquêtes, émettre des avertissements, ordonner des mesures correctives et imposer des amendes. Les actions d’application devraient augmenter à mesure que le cadre réglementaire mûrit et que les organisations achèvent leurs périodes de transition vers la conformité.
Impact sur Vision 2030 et l’économie numérique
La PDPL est un facilitateur critique de la transformation numérique de l’Arabie saoudite sous Vision 2030. Elle soutient l’agenda plus large de réformes réglementaires du Royaume. En établissant des standards clairs de protection des données, la loi renforce la confiance dans l’économie numérique, encourage l’adoption du cloud computing et de l’intelligence artificielle, et positionne l’Arabie saoudite comme destination crédible pour les entreprises technologiques internationales et les activités fondées sur les données. L’alignement de la loi sur des standards mondiaux comme le Règlement général sur la protection des données (RGPD) de l’Union européenne facilite les flux transfrontaliers de données et les partenariats commerciaux, soutenant l’intégration du Royaume dans l’économie numérique mondiale.