Le cadre saoudien de gouvernance des données est le corpus de règles qui encadre les données personnelles, le partage de données publiques, les transferts transfrontaliers et la conformité à l’ère de l’IA dans le Royaume. Il repose sur la Personal Data Protection Law (PDPL) et est supervisé par la SDAIA, reliant la protection de la vie privée à l’économie numérique visée par Vision 2030.
Personal Data Protection Law
La PDPL est la pierre angulaire de la gouvernance saoudienne des données. Elle établit un régime complet pour la collecte, le traitement, le stockage, le transfert et la destruction de données personnelles par les entités publiques et privées opérant dans le Royaume ou traitant les données personnelles de résidents saoudiens. Sa structure s’inspire de principes internationaux de protection des données, notamment ceux du règlement général européen sur la protection des données (RGPD), tout en intégrant des dispositions adaptées au contexte juridique et institutionnel saoudien.
Ses dispositions clés incluent l’exigence d’une base légale pour le traitement, avec le consentement comme mécanisme principal, aux côtés d’exceptions liées à la nécessité contractuelle, aux intérêts vitaux, aux obligations légales et aux intérêts légitimes. Les personnes concernées disposent de droits d’accès, de correction, d’effacement des données qui ne sont plus nécessaires à leur finalité initiale et de retrait du consentement. Les responsables de traitement doivent mettre en œuvre des mesures techniques et organisationnelles appropriées contre l’accès, la divulgation, l’altération ou la destruction non autorisés.
La PDPL impose aussi des obligations de notification des violations, obligeant les responsables de traitement à informer l’autorité compétente et, dans certains cas, les personnes affectées dans des délais définis après la découverte d’un incident. Elle régule les transferts transfrontaliers en établissant les conditions dans lesquelles les données personnelles peuvent sortir du Royaume, notamment par des évaluations d’adéquation du niveau de protection du pays destinataire.
Rôle réglementaire de la SDAIA
La Saudi Data and Artificial Intelligence Authority (SDAIA) a été créée en 2019 avec un mandat large couvrant la gouvernance nationale des données, la stratégie d’intelligence artificielle et le développement de l’économie saoudienne fondée sur les données. Son rôle sous la PDPL inclut la publication de règlements d’application, de lignes directrices et de standards sectoriels, la supervision de la conformité, l’instruction des plaintes et l’imposition de sanctions.
La position institutionnelle de la SDAIA reflète la conviction du gouvernement saoudien que gouvernance des données et intelligence artificielle sont indissociables. Son double mandat lui permet d’équilibrer protection des données et promotion de leur usage économique et social, notamment pour les applications d’IA qui dépendent de jeux de données de qualité. Cette approche intégrée limite la fragmentation qui peut apparaître lorsque protection des données et innovation data relèvent d’institutions séparées.
L’autorité a publié des règlements, lignes directrices et cadres de conformité détaillant les dispositions générales de la PDPL. Ils couvrent les mécanismes de consentement, les analyses d’impact sur la protection des données, les mécanismes de transfert et les exigences sectorielles pour les traitements à haut risque, dont données de santé, données financières et données biométriques.
Exigences de conformité
La conformité au cadre saoudien impose des obligations significatives aux organisations opérant dans le Royaume. Les entités qui traitent des données personnelles doivent nommer des responsables de protection des données dans les cas définis par les règlements d’application, tenir des registres des activités de traitement, conduire des analyses d’impact pour les opérations à haut risque et mettre en place des garanties techniques comme chiffrement, contrôles d’accès et journaux d’audit.
La portée extraterritoriale de la PDPL étend ces obligations aux entités situées hors d’Arabie saoudite qui traitent les données personnelles de résidents saoudiens. Cette disposition aligne le droit saoudien sur la tendance mondiale à affirmer une compétence juridictionnelle sur les sous-traitants étrangers. Les entreprises internationales ayant des clients ou opérations saoudiens doivent évaluer leurs obligations et mettre en œuvre les mesures appropriées.
Les pénalités de non-conformité incluent des sanctions financières pouvant atteindre plusieurs millions de riyals par violation, avec des pénalités renforcées en cas de récidive ou de violation intentionnelle. Le régime de sanctions vise une dissuasion réelle tout en conservant une proportionnalité avec la nature et la gravité de la violation.
Localisation des données et transferts transfrontaliers
La localisation des données est une dimension importante du cadre saoudien. La PDPL et ses règlements établissent les conditions de transfert de données personnelles hors du Royaume, reflétant des considérations de sécurité nationale et de souveraineté aux côtés de la protection de la vie privée. Les transferts sont autorisés vers des juridictions offrant un niveau adéquat de protection ou via clauses contractuelles types, règles d’entreprise contraignantes ou autres mécanismes approuvés.
Ces exigences interagissent avec la stratégie plus large d’infrastructure numérique, qui a attiré de grands fournisseurs internationaux de cloud vers des opérations de centres de données en Arabie saoudite. L’existence d’infrastructures cloud domestiques permet aux organisations de respecter les obligations de localisation tout en utilisant des plateformes technologiques mondiales, un développement activement facilité par la SDAIA et la Communications, Space and Technology Commission.
Open data et partage des données publiques
Le cadre dépasse la protection de la vie privée pour couvrir la gestion des données publiques et les initiatives d’open data. La politique d’open data, administrée via la SDAIA, établit des principes et exigences pour publier les jeux de données publics dans des formats lisibles par machine. Le portail national d’open data donne accès à des milliers de jeux de données couvrant statistiques économiques, information géographique, santé et indicateurs environnementaux, soutenant transparence, recherche et innovation commerciale.
Les cadres de partage de données publiques établissent des protocoles d’échange sécurisé entre entités de l’État, répondant à la fragmentation historique qui entravait la coordination inter-agences. Le National Data Management Office au sein de la SDAIA définit les standards de qualité, classification et cycle de vie des données pour le secteur public.
Signification stratégique
La gouvernance saoudienne des données sert des fonctions stratégiques qui dépassent la conformité réglementaire. En établissant un régime crédible de protection des données, le Royaume signale aux entreprises internationales, groupes technologiques et investisseurs qu’il offre un environnement fiable pour les opérations intensives en données. Cette crédibilité est essentielle pour attirer les investissements directs étrangers en technologie, services financiers et commerce numérique requis par la stratégie de diversification de Vision 2030.
Le cadre soutient aussi le développement de capacités nationales en données et IA. Des règles claires sur collecte, traitement et partage permettent aux chercheurs, startups et entreprises saoudiennes de développer des produits et services data-driven dans un environnement juridique prévisible. Les dispositions de la PDPL relatives au traitement d’intérêt public et à la recherche créent des voies d’utilisation bénéfique des données qui complètent les protections de la vie privée.