Ce que cela signifie
Définition
La confidentialité des données et la conformité cyber en Arabie saoudite relèvent désormais d’un problème de gouvernance intégré : la PDPL encadre les données personnelles, les politiques du NDMO régissent la gestion nationale des données et leur classification, les contrôles de la NCA définissent les socles de cybersécurité, et les règles saoudiennes relatives aux données ouvertes déterminent quels jeux de données publics peuvent être publiés. Toute entreprise appelée à traiter des données personnelles, héberger des charges de travail, fournir des systèmes d’IA, gérer une infrastructure cloud ou travailler avec des entités publiques saoudiennes devrait cartographier ses obligations de confidentialité et de données avant le déploiement, non après la signature du contrat. La question pratique n’est pas seulement de savoir si une notice affirme que la confidentialité est protégée. Elle est de déterminer si l’organisation peut prouver la licéité du traitement, classifier correctement les données, contrôler les transferts hors du Royaume, sécuriser les systèmes, documenter les registres des activités de traitement et distinguer les données ouvertes des données restreintes [S1], [S2], [S3], [S4].
La pile de conformité principale comporte quatre couches.
| Couche | Question centrale | Autorité ou source saoudienne principale | Preuves typiques |
|---|---|---|---|
| Confidentialité des données personnelles | L’organisation peut-elle collecter, utiliser, divulguer, conserver ou transférer légalement des données personnelles ? | SDAIA et documents PDPL | Notice de confidentialité, base de traitement, preuve de consentement lorsque requis, circuit d’exercice des droits, procédure de violation, évaluation de transfert |
| Gouvernance des données | Comment les données sont-elles classifiées, partagées, conservées, détruites et publiées ? | Politiques nationales de gouvernance des données du NDMO | Inventaire des données, étiquettes de classification, accords de partage, calendrier de conservation, revue des données ouvertes |
| Cybersécurité | Les systèmes sont-ils protégés contre les accès non autorisés, les interruptions, les fuites et les risques de chaîne d’approvisionnement ? | Contrôles de cybersécurité de la NCA | Registre des actifs, contrôles d’accès, chiffrement, journalisation, réponse aux incidents, contrôles des tiers |
| Infrastructure numérique | Où les données sont-elles hébergées, traitées, connectées et surveillées ? | CST, DGA, régulateurs sectoriels, contrôles de la NCA | Classification cloud, architecture d’hébergement, diligence fournisseur, journaux d’audit, résidence des données et registres de transfert |
Cette note est un cadrage de conformité, non un avis juridique. L’analyse juridique saoudienne en matière de données personnelles dépend des faits, du secteur, du type de données, des parties, du modèle d’hébergement et des orientations réglementaires en vigueur.
Autorités compétentes
L’Arabie saoudite repose sur une autorité distribuée, et non sur un régulateur unique de la confidentialité et de la cybersécurité.
SDAIA occupe une position centrale dans l’environnement de politique publique des données et de l’IA. Elle publie les documents officiels relatifs à la PDPL via la Data Governance Platform. Le NDMO, établi sous l’égide de SDAIA, fournit les politiques nationales de gouvernance des données couvrant la classification des données, la protection des données personnelles, le partage des données, les données ouvertes et la liberté d’information pour les entités publiques et leurs écosystèmes de données [S1], [S2], [S5].
La National Cybersecurity Authority est la référence pour les contrôles cyber nationaux. Ses Essential Cybersecurity Controls et Cloud Cybersecurity Controls sont particulièrement importants pour les fournisseurs du secteur public, les prestataires de cloud, les systèmes critiques et les organisations connectées à des environnements publics ou régulés [S3], [S4].
Le MCIT façonne la politique d’économie numérique. La CST régule les marchés des communications, de l’espace et de la technologie, y compris l’enregistrement des services de cloud computing et les exigences réglementaires associées. La DGA influence les services d’administration numérique et la politique cloud-first applicable aux entités publiques. Les régulateurs sectoriels peuvent ajouter des exigences de confidentialité, d’externalisation, de cybersécurité, de localisation des données, d’audit et de notification d’incident dans la finance, la santé, les télécommunications, l’assurance, les marchés de capitaux, l’énergie, l’éducation et la commande publique [S6], [S7].
Importance pour la domination saoudienne dans l’IA
La stratégie saoudienne en matière d’IA dépend de la capacité à mobiliser les données tout en protégeant les individus, les entités publiques, les intérêts de sécurité nationale et les infrastructures critiques. Les systèmes d’IA ont besoin de grands volumes de données, mais les régimes saoudiens de conformité posent d’abord les questions suivantes : quelle est la donnée, qui la contrôle, est-elle personnelle ou sensible, peut-elle quitter le Royaume, peut-elle être utilisée pour la finalité déclarée, et le système peut-il être sécurisé puis audité [S1], [S5], [S8].
La conformité devient donc une question d’entrée sur le marché. Les fournisseurs capables de démontrer la privacy-by-design, la cyber-by-design, la classification des données, les registres des activités de traitement, une traçabilité explicable des données et des contrôles de transfert seront plus faciles à approuver dans les déploiements à forte exigence de confiance. Ceux qui traitent les règles saoudiennes comme une simple annexe contractuelle s’exposent à des retards de passation, des reprises d’architecture, une exposition réglementaire et une perte de confiance client.
Carte institutionnelle
Rôles de SDAIA, du NDMO, de Humain, du MCIT et de la CST
SDAIA est l’institution chef de file de l’agenda national saoudien des données et de l’IA. Pour les équipes de conformité, le point important est opérationnel : la Data Governance Platform de SDAIA est le lieu où les documents officiels relatifs à la PDPL et à la gouvernance des données doivent être vérifiés avant de finaliser les décisions [S1], [S2].
Le NDMO constitue la couche pratique de gouvernance des données. Ses National Data Governance Policies fixent des attentes dans les domaines décisifs pour l’IA et les services numériques : classification des données, partage des données, données ouvertes, liberté d’information et protection des données personnelles. Une politique saoudienne de classification et de traitement des données doit donc aller au-delà d’une politique d’entreprise générique. Elle doit définir les niveaux de classification, la propriété, les accès, les partages autorisés, les conditions de publication, la conservation, la destruction et les règles d’escalade d’une manière compatible avec le vocabulaire des politiques du NDMO [S5].
Humain, annoncé par le PIF en 2025, ajoute un signal de marché : l’Arabie saoudite construit une capacité dédiée d’entreprise d’IA en parallèle de la gouvernance publique des données. Humain ne régule pas la confidentialité, mais ses ambitions en matière de plateformes, d’infrastructures, de modèles et de données s’inscrivent dans le même environnement de conformité, qui encadre l’accès aux données, l’hébergement cloud, les contrôles cyber et les transferts transfrontaliers [S9].
Le MCIT est pertinent parce que l’environnement de conformité est indissociable de la politique numérique et de l’infrastructure numérique saoudiennes. La CST l’est également parce que les communications, la technologie, le cloud computing et les services de plateforme peuvent créer des interfaces réglementaires supplémentaires. Pour les décisions relatives au cloud et aux centres de données, les équipes de conformité doivent vérifier les règles cloud de la CST, les contrôles cloud de la NCA, la politique cloud-first de la DGA pour les travaux publics, ainsi que toute règle sectorielle d’externalisation ou de cybersécurité [S4], [S6], [S7].
Secteur public, PIF et secteur privé
Les entités publiques portent les obligations les plus explicites en matière de gouvernance des données du NDMO et de données ouvertes. Elles doivent comprendre quels jeux de données sont publics, lesquels sont restreints, lesquels contiennent des données personnelles, et lesquels peuvent être partagés ou publiés. Une plateforme de données ouvertes n’est pas un dépôt indifférencié de fichiers publics. C’est un canal de publication contrôlé pour des données ayant franchi les vérifications de classification, confidentialité, qualité, propriété et diffusion publique [S5], [S10].
Les sociétés du PIF et les champions nationaux opèrent souvent dans des secteurs commercialement concurrentiels tout en servant des objectifs stratégiques de l’État. Ils peuvent être soumis à une combinaison d’obligations de confidentialité d’entreprise, d’exigences contractuelles publiques, d’attentes cyber et de règles sectorielles. Pour ces entités, la question de conformité n’est généralement pas de savoir si la PDPL s’applique isolément. Elle est de comprendre comment la PDPL, la gouvernance des données inspirée du NDMO, les contrôles de la NCA, les règles cloud, les contrats fournisseurs et les obligations sectorielles fonctionnent ensemble.
Les opérateurs privés doivent partir du principe que les clients saoudiens demanderont des contrôles documentés. Cela inclut les registres des activités de traitement, les notices de confidentialité, les règles de conservation, les procédures de violation, la logique de classification, les évaluations de transfert, les preuves de sécurité des fournisseurs et les droits d’audit. Les fournisseurs étrangers doivent aussi s’attendre à des questions sur les accès support, la télémétrie, les sauvegardes, les sous-traitants ultérieurs, l’entraînement des modèles, la résidence des données et tout départ de données personnelles ou de données publiques classifiées hors d’Arabie saoudite.
Technologie et infrastructure
Cloud et centres de données
L’architecture cloud doit commencer par la classification des données. Une charge de travail contenant des données ouvertes publiques, des dossiers commerciaux ordinaires, des données personnelles, des données personnelles sensibles, des journaux de systèmes critiques ou des informations gouvernementales restreintes peut exiger des contrôles d’hébergement, d’accès, de chiffrement, de journalisation, de sauvegarde, de suppression et de transfert différents. Déplacer une charge de travail vers une région saoudienne ou un centre de données local peut réduire certains risques, mais ne répond pas à lui seul aux questions juridiques [S1], [S4], [S5].
Pour les travaux publics, la politique cloud-first de la DGA et les exigences associées d’administration numérique doivent être examinées en parallèle des contrôles de cybersécurité de la NCA. Pour les fournisseurs et clients cloud, les règles de la CST et les contrôles cloud de la NCA peuvent affecter l’enregistrement, les contrôles, la gestion des incidents et les attentes d’assurance [S4], [S6], [S7].
Pour l’infrastructure d’IA, la question cloud la plus difficile n’est souvent pas le calcul. Elle concerne le mouvement des données. Les pipelines d’entraînement, feature stores, systèmes de retrieval, bases vectorielles, outils d’observabilité, tickets de support, sauvegardes et flux d’évaluation des modèles peuvent tous créer des transferts, des divulgations ou des usages secondaires. Une architecture réellement protectrice de la confidentialité doit montrer où les données entrent, comment elles sont transformées, qui peut y accéder, quand elles sont supprimées et si elles sont jamais envoyées hors du Royaume.
Modèles, puces et plateformes
La conformité saoudienne de l’IA ne porte pas uniquement sur les sorties du modèle. Elle porte sur tout le cycle de vie des données qui soutient le système.
Les plateformes d’IA devraient prendre en charge la traçabilité des données, l’approbation des jeux de données, l’accès fondé sur les rôles, la conservation et la suppression, la rédaction ou pseudonymisation, la journalisation des prompts et sorties lorsque cela est approprié, les contrôles de données d’entraînement, les dossiers d’évaluation et le suivi de sécurité. Lorsque des données personnelles sont en jeu, le responsable de traitement doit pouvoir expliquer la finalité du traitement, les données traitées, l’existence éventuelle de données personnelles sensibles, le traitement des demandes de droits et tout transfert hors d’Arabie saoudite [S1], [S2], [S8].
Les chaînes d’approvisionnement des puces et des modèles ajoutent des contraintes géopolitiques et opérationnelles. Une infrastructure d’IA avancée peut dépendre de matériel étranger, de partenariats cloud et d’un support technique transfrontalier. Cela ne rend pas automatiquement un déploiement non conforme, mais impose un examen plus étroit des chemins d’accès, des données de support, de la télémétrie, de l’exposition aux sanctions et aux contrôles à l’exportation, de la réponse aux incidents et des mécanismes de transfert.
Adoption par l’administration
L’adoption par l’administration élève le niveau d’exigence parce que les services publics peuvent toucher l’identité, les prestations, la santé, les licences, l’éducation, la justice, l’emploi, les paiements et les infrastructures nationales. Ces systèmes doivent intégrer la privacy-by-design et la cyber-by-design avant leur lancement.
Pour un projet public de données ou d’IA, un dossier de contrôle crédible comprend généralement :
| Domaine de contrôle | Ce que les équipes de passation peuvent attendre |
|---|---|
| Classification des données | Catégorie du jeu de données, propriétaire, usage autorisé, limites de partage, conservation, destruction et statut de publication |
| Gestion des données personnelles | Finalité, catégorie de personnes concernées, champs de données personnelles, indicateur de données sensibles, base légale, notice de confidentialité et circuit d’exercice des droits |
| Preuve ROPA pour les données personnelles | Registres des activités de traitement indiquant responsables, sous-traitants, destinataires, conservation, transferts et garanties |
| Contrôles cyber | Inventaire des actifs, contrôles d’accès, gestion des accès privilégiés, journalisation, gestion des vulnérabilités, réponse aux incidents et contrôles fournisseurs |
| Gouvernance de l’IA | Provenance des jeux de données, résultats d’évaluation, revue des biais et de la qualité, supervision humaine, suivi du modèle et procédure d’escalade |
| Revue des transferts | Détermination de toute sortie hors d’Arabie saoudite de données, journaux, sauvegardes, accès support ou éléments d’entraînement de modèle |
Politique et conformité
Gouvernance des données
La gouvernance des données est la couche opérationnelle sous-jacente à la PDPL et aux contrôles cyber. Sans inventaire et modèle de classification, une organisation ne peut pas décider de manière fiable si elle peut traiter des données personnelles, partager un jeu de données, publier des données ouvertes, déplacer des données vers le cloud, entraîner un modèle ou transférer des données hors du Royaume.
Un exemple de politique de classification des données prête pour l’Arabie saoudite devrait inclure :
| Élément | Ce qu’il doit décider |
|---|---|
| Catégories de classification | Quelles étiquettes sont utilisées et comment elles se rattachent aux exigences du NDMO ou du client |
| Propriété | Quel responsable métier approuve la collecte, le partage, la conservation, la publication et la suppression |
| Règles de traitement | Qui peut accéder aux données, quels systèmes peuvent les stocker, et quel chiffrement ou quelle journalisation est requis |
| Règles de partage | Si les données peuvent être partagées en interne, avec des fournisseurs, avec d’autres entités ou avec le public |
| Revue des données ouvertes | Si le jeu de données peut être publié sur une plateforme de données ouvertes après contrôles de confidentialité, sensibilité et qualité |
| Conservation et destruction | Combien de temps les données sont conservées et comment la suppression est prouvée |
| Escalade | Quand une approbation juridique, cyber, privacy ou exécutive est requise |
Les données ouvertes exigent une discipline particulière. La politique du NDMO soutient les données ouvertes, mais la publication ne doit pas neutraliser les restrictions de confidentialité, de secret, de sécurité nationale, commerciales ou sectorielles. Un jeu de données apparemment inoffensif peut devenir sensible lorsqu’il est combiné avec d’autres jeux de données, des données de localisation, des champs d’identité, des enregistrements transactionnels ou des détails opérationnels [S5], [S10].
Éthique de l’IA
Les principes d’éthique de l’IA publiés par SDAIA renforcent l’idée que la gouvernance de l’IA n’est pas séparée de la confidentialité et de la gouvernance des données. Les équipes doivent déterminer si un système d’IA traite des données personnelles, s’il prend ou soutient des décisions concernant des individus, si la qualité ou les biais des données peuvent causer un préjudice, si des humains peuvent contester ou revoir les résultats, et si les utilisateurs comprennent le rôle du système [S8].
Les principes fondamentaux de la protection des données sont des contrôles pratiques : limitation des finalités, minimisation, exactitude, sécurité, limitation de la conservation, transparence, droits des personnes concernées et responsabilité du traitement. Ils deviennent encore plus importants lorsque les systèmes d’IA réutilisent les données pour la prédiction, le profilage, la personnalisation, le classement, la biométrie ou l’aide à la décision automatisée.
Les normes ISO peuvent aider, mais elles ne remplacent pas les exigences saoudiennes. ISO/IEC 27701 peut soutenir la gestion des informations relatives à la vie privée, ISO/IEC 27001 peut soutenir la gestion de la sécurité de l’information, et ISO/IEC 42001 peut soutenir les systèmes de management de l’IA. Ce sont des cadres d’assurance utiles, non des substituts à la PDPL, aux politiques du NDMO, aux contrôles de la NCA, aux exigences de la CST ou aux règles sectorielles.
Confidentialité et sécurité
L’analyse PDPL devrait commencer par la cartographie des rôles. L’organisation doit savoir si elle est responsable de traitement, sous-traitant, responsable conjoint, fournisseur, sous-traitant ultérieur, entité publique ou institution régulée sectoriellement. Elle doit identifier les catégories de données personnelles, les données personnelles sensibles, les personnes concernées, les destinataires, les durées de conservation et les chemins de transfert [S1], [S2].
L’expression traiter des données personnelles doit être entendue largement. Elle peut couvrir la collecte, l’enregistrement, l’organisation, le stockage, la modification, la récupération, l’utilisation, la divulgation, le transfert, la publication, la suppression ou toute autre manipulation de données personnelles. Un système peut déclencher des obligations de confidentialité même lorsque les données personnelles ne figurent que dans des journaux, tickets de support, données analytiques, sauvegardes, jeux de données d’entraînement ou systèmes de gestion des identités [S1].
Le transfert transfrontalier est une zone à risque élevé. La PDPL saoudienne et ses documents d’application prévoient des conditions pour transférer ou divulguer des données personnelles hors du Royaume. Une revue pratique des transferts devrait vérifier la finalité, la nécessité, la destination, le destinataire, les garanties, les données sensibles, les transferts ultérieurs, les accès support, la région cloud, l’emplacement des sauvegardes, la télémétrie, ainsi que toute condition plus stricte imposée par un régulateur ou une règle sectorielle [S1], [S2].
L’analyse cyber doit se dérouler en parallèle. Les contrôles de la NCA portent sur la gouvernance, la gestion des risques, la gestion des actifs, la gestion des identités et des accès, la protection, la détection, la réponse, la récupération, le cloud et la sécurité des tiers. En pratique, les conditions de protection cyber doivent être traduites en preuves système : politiques, journaux d’accès, configuration de chiffrement, rapports de vulnérabilité, plans de réponse aux incidents, attestations fournisseurs et procédures de reprise testées [S3], [S4].
Le modèle opérationnel le plus robuste est une carte unique des preuves. Les équipes privacy, les propriétaires de données, les équipes cyber, les architectes cloud, les achats, le juridique et les sponsors métier devraient pouvoir regarder un jeu de données ou un système et y voir la classification, le statut de données personnelles, l’analyse de licéité du traitement, les contrôles cyber, le statut de transfert, la conservation et l’éligibilité à la publication.
Implications de marché
Opportunité pour les fournisseurs
Les acheteurs saoudiens ont besoin de plus que des modèles de politiques. L’opportunité de marché réside dans des systèmes opérationnels capables de prouver la conformité en continu.
Les catégories à forte demande incluent :
| Catégorie de fournisseur | Pertinence pour la conformité saoudienne |
|---|---|
| Opérations privacy | Inventaire des données, ROPA, notices de confidentialité, consentement lorsque requis, demandes de droits, flux de violation, conservation |
| Gouvernance des données | Classification, catalogage, traçabilité, approbations de partage, revue de publication en données ouvertes, preuve de destruction |
| Cyber GRC | Cartographie des contrôles NCA, registres de risques, risques tiers, preuves d’audit, flux d’incidents et de vulnérabilités |
| Sécurité cloud | Architecture d’hébergement saoudienne, contrôle d’accès, chiffrement, gestion de posture cloud, journaux, preuves de sauvegarde et de reprise |
| Gouvernance de l’IA | Provenance des jeux de données, registres de risque modèle, preuves d’évaluation, suivi, supervision humaine, red teaming |
| Prévention des pertes de données | Découverte des données sensibles, application des politiques, alertes d’exfiltration, contrôles des accès privilégiés |
Les fournisseurs les plus solides intégreront les preuves juridiques, privacy, cyber, d’ingénierie des données et de passation. Un outil qui ne produit qu’une notice de confidentialité ne répondra pas aux besoins des entreprises saoudiennes s’il ne peut pas se connecter à la classification des données, aux contrôles cyber, aux chemins de transfert et aux preuves d’audit.
Contraintes de talents, d’énergie et de géopolitique
La principale contrainte est la capacité d’exécution. La conformité exige des profils qui comprennent le droit, la cybersécurité, le cloud, l’ingénierie des données, la commande publique, les données en langue arabe, les flux de travail publics et les règles sectorielles. Une bibliothèque générique de politiques ne suffit pas.
La requête de recherche assignée “cybersecurity unemployment rate 2025” doit être traitée avec prudence. Ce n’est pas un indicateur standard de conformité saoudienne. GASTAT publie des statistiques du marché du travail, mais une évaluation des effectifs cyber devrait privilégier la disponibilité des compétences, la durée des postes vacants, la dépendance à l’externalisation, la capacité des services managés, la maturité des contrôles et la préparation à la réponse aux incidents, plutôt qu’un taux de chômage générique [S11].
L’énergie et la géopolitique comptent également. Les centres de données d’IA exigent électricité, refroidissement, puces, capacité réseau et chaînes d’approvisionnement résilientes. Les fournisseurs étrangers de cloud et d’IA peuvent faire face à des questions sur les contrôles à l’exportation, les accès support, les charges de travail sensibles, l’alignement géopolitique et la protection des données client saoudiennes lorsque des infrastructures, personnels ou sous-traitants ultérieurs se trouvent hors du Royaume.
Pour les entrants de marché, le conseil opérationnel est simple : traiter la confidentialité et la conformité cyber comme une architecture produit. Plus tôt un fournisseur peut prouver une classification des données alignée sur l’Arabie saoudite, un traitement protecteur des données personnelles, des contrôles de transfert, une sécurité cloud et une auditabilité, plus il devient facile de vendre à des acheteurs saoudiens sérieux.
FAQ
Réponses alignées sur les requêtes
Qu’est-ce que la PDPL en Arabie saoudite ?
La PDPL est la Personal Data Protection Law de l’Arabie saoudite. Elle régit le traitement des données personnelles et doit être lue avec les documents officiels d’application de SDAIA, non seulement avec des synthèses secondaires [S1], [S2].
Comment la confidentialité et les données sont-elles liées dans la conformité saoudienne ?
La confidentialité et les données sont liées parce que les obligations privacy dépendent de la connaissance des données existantes, de leur lieu de stockage, de leur propriétaire, des personnes qui y accèdent, de leur classification et de leur statut : personnelles, sensibles, transférables, partageables ou publiables [S1], [S5].
Que signifie une confidentialité protégée en pratique ?
Cela signifie que l’organisation peut prouver la licéité du traitement, protéger les données personnelles par des mesures de sécurité appropriées, respecter les droits, contrôler les accès, gérer la conservation, traiter les violations et empêcher toute divulgation ou transfert non autorisé [S1], [S2], [S3].
Qu’est-ce qu’une plateforme de données ouvertes ?
Une plateforme de données ouvertes publie des jeux de données approuvés pour la réutilisation publique. Avant publication, les entités publiques saoudiennes devraient mener des vérifications de classification, de confidentialité, de sensibilité, de propriété et de qualité [S5], [S10].
Quelles sont les conditions de protection cyber pour les systèmes saoudiens ?
Les conditions dépendent de l’entité et du système, mais les contrôles de la NCA renvoient généralement à la gouvernance, la gestion des risques, le contrôle des actifs, la gestion des identités et des accès, le chiffrement, la journalisation, la gestion des vulnérabilités, la réponse aux incidents, les contrôles cloud et la sécurité des fournisseurs [S3], [S4].
La conformité juridique saoudienne en matière de confidentialité est-elle identique à la conformité GDPR ?
Non. Les concepts du GDPR peuvent être utiles aux programmes multinationaux, mais la PDPL saoudienne, les orientations de SDAIA, les politiques du NDMO, les contrôles de la NCA, les règles cloud de la CST et les règles sectorielles doivent être analysés selon leurs propres termes.
Quel serait un exemple de politique de classification des données pour l’Arabie saoudite ?
Une politique utile définit les catégories de classification, les propriétaires, les règles d’accès, les règles de traitement, les autorisations de partage, la revue des données ouvertes, la conservation, la destruction et les étapes d’escalade. Les opérateurs saoudiens devraient la rattacher aux exigences du NDMO ou aux exigences propres à leurs clients [S5].
Que signifie traiter des données personnelles ?
Traiter des données personnelles peut inclure collecter, stocker, utiliser, modifier, partager, transférer, supprimer ou manipuler autrement des informations relatives à une personne identifiable. Les journaux, tickets de support, données analytiques, sauvegardes et jeux de données d’entraînement de l’IA peuvent tous être concernés [S1].
Que doit contenir une politique de classification et de traitement des données ?
Elle doit inclure des étiquettes de classification, des exemples, des propriétaires de données, les emplacements autorisés, les niveaux d’accès, le chiffrement, la journalisation, les règles de partage, les restrictions de transfert, la conservation, la destruction et les intervalles de revue.
Qu’est-ce que la confidentialité des données personnelles en Arabie saoudite ?
C’est la protection des informations relatives à une personne identifiable au titre de la PDPL saoudienne et de ses documents d’application. Les données sensibles, les transferts, la gestion des violations et les droits des personnes concernées exigent une attention particulière [S1], [S2].
Qu’est-ce que le ROPA en protection des données ?
ROPA signifie records of processing activities, ou registres des activités de traitement. Pour les opérations saoudiennes, il devrait documenter les finalités du traitement, les catégories de données, les catégories de personnes concernées, les responsables de traitement, les sous-traitants, les destinataires, les durées de conservation, les chemins de transfert et les garanties.
Quels sont les principes fondamentaux de la protection des données ?
Les principes pratiques sont la limitation des finalités, la minimisation, la transparence, l’exactitude, la sécurité, la limitation de la conservation, la gestion des droits et la responsabilité. Les projets saoudiens devraient les appliquer à travers la PDPL et des contrôles opérationnels [S1], [S2].
D’où viennent les lignes directrices saoudiennes de classification des données ?
Pour les contextes publics et de données publiques, les National Data Governance Policies du NDMO sont la source clé. Les entités contractantes et les régulateurs sectoriels peuvent ajouter des règles plus détaillées de classification et de traitement [S5].
Quelle norme ISO est utilisée pour la protection des données ?
ISO/IEC 27701 est couramment utilisée pour la gestion des informations relatives à la vie privée, tandis qu’ISO/IEC 27001 soutient la sécurité de l’information et ISO/IEC 42001 les systèmes de management de l’IA. Ces normes peuvent soutenir l’assurance, mais elles ne remplacent pas les exigences juridiques et réglementaires saoudiennes.
Qu’est-ce que la gestion des données personnelles ?
La gestion des données personnelles est le contrôle opérationnel des données personnelles à travers la collecte, la classification, l’utilisation, l’accès, le partage, le transfert, la conservation, la suppression et l’exercice des droits. C’est le système quotidien qui soutient la conformité PDPL.
Existe-t-il un taux de chômage cyber pour 2025 ?
Cette requête ne correspond pas à un indicateur direct de conformité saoudienne. Les données du marché du travail peuvent fournir un contexte, mais le risque de dotation cyber devrait être évalué à travers les compétences, les postes vacants, l’externalisation, la capacité des services managés, la préparation aux incidents et la maturité des contrôles [S11].
Lectures connexes
- Réglementation de l’IA et des données en Arabie saoudite
- Page connexe : politiques de gouvernance des données du NDMO et classification saoudienne des données
- Page connexe : principes saoudiens d’éthique de l’IA et gouvernance responsable de l’IA
- Page connexe : veille sur la politique saoudienne de l’IA et carte des régulateurs
- Page connexe : stratégie saoudienne pour le cloud, les centres de données et l’infrastructure d’IA
- Page connexe : commande publique saoudienne et accès fournisseur pour les acteurs étrangers
- Page connexe : travail, paie, EOR, salaires et saoudisation en Arabie saoudite
- Page connexe : réglementation saoudienne de la cybersécurité et contrôles des infrastructures critiques
Sources
- SDAIA Data Governance Platform, page réglementaire officielle, loi sur la protection des données personnelles, consultée le 2026-05-26. https://dgp.sdaia.gov.sa/wps/portal/pdp/knowledgecenter/details/PDPL/
- SDAIA Data Governance Platform, page réglementaire officielle, règlement d’application de la PDPL, consultée le 2026-05-26. https://dgp.sdaia.gov.sa/wps/portal/pdp/knowledgecenter/details/PDPL2/
- National Cybersecurity Authority, bibliothèque officielle des contrôles, Essential Cybersecurity Controls, consultée le 2026-05-26. https://nca.gov.sa/en/legislation/
- National Cybersecurity Authority, bibliothèque officielle des contrôles, Cloud Cybersecurity Controls, consultée le 2026-05-26. https://nca.gov.sa/en/legislation/
- SDAIA/NDMO, PDF officiel, politiques nationales de gouvernance des données, consulté le 2026-05-26. https://sdaia.gov.sa/ndmo/Files/PoliciesEn001.pdf
- Communications, Space & Technology Commission, page réglementaire officielle, réglementation relative à la fourniture de services de cloud computing, décision du 2023-10-08, consultée le 2026-05-26. https://www.cst.gov.sa/en/regulations-and-licenses/regulations/Document-1550/
- Digital Government Authority, page officielle de politique publique, politiques d’administration numérique, consultée le 2026-05-26. https://dga.gov.sa/en/regulatory-documents/Digital-government-policies
- SDAIA, PDF officiel, principes d’éthique de l’IA, consulté le 2026-05-26. https://sdaia.gov.sa/en/SDAIA/about/Documents/ai-principles.pdf
- PIF, communiqué officiel, annonce par le Prince héritier de HUMAIN, 2025-05-12, consulté le 2026-05-26. https://www.pif.gov.sa/en/news-and-insights/press-releases/2025/hrh-crown-prince-announces-humain-a-pif-company-to-propel-saudi-arabia-as-a-global-leader-in-artificial-intelligence/
- Saudi Open Data Portal, plateforme publique officielle, consultée le 2026-05-26. https://open.data.gov.sa/
- GASTAT, statistiques officielles du marché du travail T1 2025, consultées le 2026-05-26. https://www.stats.gov.sa/documents/d/guest/lms-q1_2025_pr_en-press-release-pdf