Frameworks

Comprendre la loi saoudienne sur la protection des données personnelles (PDPL)

Comprenez comment fonctionne la loi sur la protection des données personnelles en Arabie saoudite et en quoi elle diffère des cadres similaires tels que le RGPD.

Cyberday
22 décembre 2025
@

Contenu de l'article

Collection ISO 27001
Comprendre la loi saoudienne sur la protection des données personnelles (PDPL)
Collection NIS2
Comprendre la loi saoudienne sur la protection des données personnelles (PDPL)
Cyberday blog
Comprendre la loi saoudienne sur la protection des données personnelles (PDPL)

La loi saoudienne sur la protection des données personnelles (PDPL) définit des règles obligatoires concernant la manière dont les organisations collectent, utilisent, stockent, partagent et transfèrent les données personnelles. Elle établit les droits individuels et une responsabilité claire pour les responsables du traitement et les sous-traitants.

Pour les RSSI, les responsables de la conformité et les responsables informatiques opérant en Arabie saoudite, la PDPL offre un plan d'action pragmatique pour réduire les risques liés à la confidentialité, démontrer leur diligence raisonnable et gagner la confiance des clients, des employés et des régulateurs. Avec un renforcement de l'application de la loi et des attentes croissantes de la part des partenaires et des auditeurs, la mise en œuvre de la PDPL devrait être un objectif commercial essentiel.

Bien qu'inspirée des normes mondiales en matière de protection de la vie privée, la PDPL n'est pas une copie conforme du RGPD. Sa structure et ses idées fondamentales semblent familières, par exemple le modèle contrôleur-sous-traitant, les droits individuels, la limitation des finalités et les exigences en matière de sécurité. La PDPL est plus prescriptive dans certains domaines, tels que les délais de notification des violations et les restrictions de transfert, et elle contient des nuances locales concernant l'accès des autorités publiques, la résidence et les conditions de consentement. Pour les équipes qui travaillent déjà avec le RGPD, la PDPL semblera familière, mais elle nécessite sa propre interprétation opérationnelle.

Ce guide traduit la PDPL en actions concrètes. Il couvre le champ d'application, les rôles, les bases juridiques, les principes, les droits, la gouvernance, la sécurité, les tiers et l'application.

Lire aussi : Comparaison entre la PDPL et le RGPD

Aperçu général : objectifs et principes

Le champ d'application du PDPL s'articule autour des concepts fondamentaux suivants, qui s'appliquent à tous les secteurs d'activité et à toutes les piles technologiques :

  • Rôles et responsabilités
  • Bases juridiques et principes de traitement
  • Droits des personnes concernées
  • Gouvernance et documentation
  • Sécurité et gestion des violations
  • Transferts internationaux
  • Surveillance et sanctions

Les objectifs de la loi sont clairs. Elle :

  • Donne aux individus un contrôle significatif sur leurs données personnelles
  • Exige un traitement équitable et transparent lié à des fins légitimes.
  • Limites de collecte et de conservation
  • Nécessite une sécurité appropriée
  • Et clarifie la répartition des responsabilités entre les responsables du traitement et les sous-traitants. 

Les autorités de réglementation sont habilitées à enquêter et à sanctionner les infractions sur la base du principe de conformité fondée sur des preuves.

Champ d'application, définitions et rôles

La PDPL s'applique à tout traitement de données à caractère personnel en Arabie saoudite et à certains traitements effectués en dehors du royaume qui visent des personnes se trouvant à l'intérieur de celui-ci. Les organismes publics, les entreprises privées, les organisations à but non lucratif et les entités étrangères peuvent tous être concernés. Les activités purement personnelles ou domestiques qui n'impliquent pas de publication ou de divulgation à grande échelle ne sont pas concernées.

Les données personnelles couvrent toute information permettant d'identifier directement ou indirectement des personnes physiques. Au-delà des identifiants évidents (noms, numéros d'identité nationaux, coordonnées), la PDPL inclut les identifiants d'appareils, la localisation précise et les ensembles de données combinés permettant d'identifier raisonnablement des personnes physiques. Les données qui ont été anonymisées de manière irréversible ne relèvent pas de la PDPL.

La loi distingue les responsables du traitement (qui déterminent les finalités et les moyens du traitement) des sous-traitants (qui traitent les données pour le compte des responsables du traitement). Les responsables du traitement sont les premiers responsables. Les sous-traitants doivent suivre des instructions documentées et n'ont pas le droit d'utiliser les données à leurs propres fins. L'attribution des rôles varie souvent en fonction de l'activité de traitement.

Même avec une présence locale limitée, la PDPL offre une référence solide en matière de gouvernance de la confidentialité. Pour les organisations opérant en Arabie saoudite, l'harmonisation des contrôles PDPL améliorera la préparation aux audits et accélérera la diligence raisonnable des partenaires. Cela sera particulièrement bénéfique si l'organisation est déjà conforme au RGPD ou à la norme ISO/IEC 27701.

Catégorie Dans le champ d'application Hors champ
Activités Traitement des données à caractère personnel en Arabie saoudite ou à l'étranger lorsque les personnes ciblées se trouvent dans le Royaume Usage personnel ou domestique sans publication
Entités Organismes publics, entreprises privées, organisations à but non lucratif, organisations étrangères traitant des données saoudiennes Personnes agissant à titre privé, entités traitant uniquement des données anonymisées
Données Toute donnée permettant d'identifier directement ou indirectement une personne, y compris les données relatives à l'appareil et à la localisation. Données anonymisées de manière irréversible
Rôles Contrôleurs et processeurs traitant des données personnelles Activités sans données personnelles ou utilisées uniquement à titre personnel

Base juridique et consentement

Chaque activité de traitement doit reposer sur une base légale. Les motifs courants comprennent le consentement explicite, l'exécution d'un contrat, le respect d'une obligation légale, la protection d'intérêts vitaux et d'intérêts légitimes qui ne prévalent pas sur les droits des personnes. Les organisations doivent associer chaque activité de traitement à une base légale et en consigner la justification.

Le consentement au titre de la PDPL doit être explicite, spécifique et éclairé. Les cases pré-cochées ou le silence ne sont pas valables. Les personnes doivent pouvoir retirer facilement leur consentement ; une fois retiré, le traitement dépendant du consentement doit cesser, sauf si une autre base légale s'applique.

Principes de traitement dans la pratique

Le traitement des données en vertu de la PDPL doit être équitable et transparent, lié à des fins claires et légitimes, et limité à ce qui est nécessaire.

Les exigences en matière d'exactitude des données impliquent que les dossiers doivent être correctement tenus à jour. La loi impose également des limites en matière de conservation.

La suppression ou l'anonymisation est requise lorsque les finalités sont atteintes, sauf si une loi impose une conservation plus longue.

Les mesures de sécurité des données doivent être adaptées à la nature, au volume et aux risques liés au traitement.

Dans la pratique, la loi exige que les finalités de la collecte de données soient définies à un niveau pratique. Cela peut être réalisé, par exemple, en normalisant les formulaires et en configurant les API afin de réduire au minimum les champs collectés. Les analyses peuvent être structurées avec des configurations de confidentialité par défaut. Les calendriers de conservation doivent être étroitement alignés sur les besoins juridiques et commerciaux.

Ces approches profitent aux organisations en réduisant les risques, en améliorant la qualité des données et en simplifiant les audits.

Droits des personnes concernées et traitement des données

Les personnes ont le droit d'être informées du traitement, d'accéder à leurs données et de corriger les inexactitudes. Elles peuvent demander la suppression dans certaines situations, par exemple lorsque les données ne sont plus nécessaires, ont été collectées illégalement ou lorsque le consentement a été retiré et qu'aucune autre base légale ne s'applique. Si la conservation est requise par la loi ou nécessaire pour établir ou défendre des droits en justice, les motifs et la portée doivent être documentés.

La PDPL soutient également les objections à certains traitements, en particulier le marketing direct. Les personnes peuvent demander la restriction du traitement, ce qui signifie généralement la conservation des données sans leur utilisation active pendant l'évaluation d'un litige. Les organisations doivent mettre en place un processus clair de réception, de vérification, d'acheminement et d'exécution, avec des délais et des résultats vérifiables.

Gouvernance, documentation et responsabilité

La direction générale doit attribuer les rôles et responsabilités en matière de protection des données, fournir les ressources nécessaires et soutenir la formation. Dans de nombreux cas, il sera nécessaire de nommer un délégué à la protection des données (ou équivalent) chargé de donner des conseils en matière de conformité, de contrôler les pratiques et d'assurer la liaison avec les autorités.

Les DPD sont tenus de conserver des registres des activités de traitement (RoPA) décrivant les catégories de données, les finalités, les personnes concernées, les destinataires, les transferts, les durées de conservation et les mesures de sécurité.

Pour les traitements susceptibles d'entraîner un risque élevé pour les personnes, les DPD seraient tenus de réaliser des analyses d'impact relatives à la protection des données (AIPD) afin d'évaluer la nécessité, la proportionnalité, les risques et les mesures d'atténuation. Les audits internes devraient vérifier que les pratiques sont conformes à la politique et à la documentation.

Sécurité, réponse aux incidents et notification des violations

La PDPL exige des mesures techniques et organisationnelles appropriées et proportionnées au risque.

Les contrôles techniques courants comprennent :

  • Cryptage
  • contrôle d'accès
  • enregistrement et surveillance
  • segmentation du réseau
  • pratiques de développement sécurisées.

Les contrôles organisationnels comprennent :

  •  accès basé sur les rôles
  • séparation des tâches
  • gestion des risques fournisseurs
  • sensibilisation ciblée

Les violations de données à caractère personnel entraînant la perte, l'altération, la divulgation ou l'accès non autorisés exigent des réponses structurées. Les plans de gestion des incidents doivent couvrir la détection, le confinement, l'enquête, la remédiation et la notification. Les autorités compétentes doivent être informées immédiatement lorsqu'un préjudice aux personnes est probable. Les personnes concernées doivent également être informées sans délai lorsqu'elles peuvent être amenées à prendre des mesures de protection si elles sont touchées par une violation de données. Les sous-traitants doivent informer les responsables du traitement des incidents sans retard injustifié.

Transferts internationaux et tiers

La PDPL restreint les transferts de données à caractère personnel en dehors de l'Arabie saoudite, sauf si la protection reste comparable. Certains transferts reposent sur des décisions d'adéquation, tandis que d'autres nécessitent des garanties contractuelles ou des règles internes contraignantes. Dans certains cas, le consentement explicite peut être utilisé.

Le respect de la loi nécessite une évaluation de l'environnement juridique et pratique de la destination. Les mesures de protection doivent être documentées et révisées périodiquement.

Les contrats entre le responsable du traitement et le sous-traitant doivent préciser l'objet, la durée, la nature, la finalité, les types de données, la confidentialité, la sécurité, les conditions de sous-traitance, les droits d'audit et la restitution ou la suppression des données à la fin du contrat. Le partage des données avec d'autres responsables du traitement doit reposer sur une base juridique claire et transparente.

Les responsabilités en matière de gestion des droits et de sécurité doivent être définies, et les cartes de données et inventaires de contrats actuels ne doivent pas être partagés.

Surveillance, application et sanctions

Une autorité de contrôle compétente publie des règlements et des directives, effectue des inspections, demande des informations et examine la documentation. Les organisations doivent suivre les mises à jour de la loi principale et des règlements d'application et adapter leurs pratiques en conséquence. Une communication transparente et opportune ainsi que la preuve d'une conformité de bonne foi peuvent réduire le risque de sanctions dans les cas où la loi n'a pas été correctement respectée.

Les sanctions vont des mesures correctives aux amendes administratives. Les facteurs pris en compte comprennent la nature et la gravité des infractions, leur durée, le nombre de personnes concernées et les antécédents. Les infractions à la loi peuvent également entraîner des coûts opérationnels et nuire à la réputation. 

Comment mettre en œuvre la PDPL dans votre organisation

Une approche structurée et fondée sur les risques permet aux équipes de petite et moyenne taille de mettre en œuvre efficacement le PDPL et de constituer au fur et à mesure des preuves prêtes à être vérifiées.

Portée et carte

Identifiez toutes les activités de traitement, tous les systèmes et tous les fournisseurs qui traitent les données personnelles des individus en Arabie saoudite. Pour chaque activité, consignez le rôle du responsable du traitement ou du sous-traitant, la finalité, la base juridique, les types de données, les destinataires, les transferts et les règles de conservation. Cela constituera la base de votre RoPA et mettra en évidence les traitements à haut risque, y compris les domaines qui pourraient nécessiter une DPIA.

Évaluer et hiérarchiser

Vérifiez vos avis, vos processus de consentement, la gestion des droits, vos mesures de sécurité, vos mécanismes de réponse aux incidents et de transfert par rapport aux exigences de la PDPL. Hiérarchisez les mesures correctives en fonction des risques. Les activités impliquant des données sensibles, des volumes importants, des systèmes destinés aux utilisateurs ou des chaînes de fournisseurs complexes doivent être traitées en priorité. Mettez à jour les avis de confidentialité et corrigez les processus d'obtention et de retrait du consentement.

Mettre en œuvre et prouver

Mettez en place les contrôles requis, finalisez les conditions générales des contrôleurs et des sous-traitants, organisez des formations basées sur les rôles et utilisez quotidiennement les guides DSAR et de réponse aux violations. Automatisez la conservation et la suppression des données dans la mesure du possible. Recueillez des preuves au fur et à mesure, par exemple les politiques, les évaluations, les consentements, les registres de formation, les configurations système, les résultats des tests et les comptes rendus de décision. Cela facilitera les audits internes et les demandes des autorités de réglementation.

Cyberday peut rationaliser ces étapes grâce à des tâches et des contrôles adaptés à la PDPL, des modèles RoPA/DPIA, des workflows basés sur les rôles et une collecte centralisée des preuves. Il met également en correspondance le travail PDPL avec d'autres cadres afin de réduire les efforts redondants et d'accélérer la création de rapports.

Amélioration continue et mesure des progrès

La conformité PDPL est un processus opérationnel continu, et non un projet ponctuel. Cela signifie qu'il convient de désigner des responsables, de définir des cycles de révision et d'utiliser des tableaux de bord pour surveiller les risques, contrôler la santé et les résultats. Les revues de direction doivent évaluer les incidents, les conclusions des audits, la posture en matière de risques et les possibilités d'amélioration à des intervalles planifiés.

Les indicateurs utiles à surveiller comprennent :

  • Volumes DSAR, respect des accords de niveau de service (SLA) et satisfaction
  • Délai entre la détection d'une violation et la prise de décision et la notification
  • Exhaustivité et fréquence des révisions RoPA
  • Couverture de l'AIPD pour les activités à haut risque et progrès en matière d'atténuation
  • Résultats des formations suivies et des évaluations par fonction
  • Évaluations des transferts par destination et type de mesure de sauvegarde
  • Évaluation des risques liés aux fournisseurs et état des mesures correctives
  • Taux de réussite des suppressions par rapport aux calendriers de conservation

Cyberday l'amélioration continue grâce à des rappels automatisés, des tableaux de bord de contrôle et une cartographie multi-cadres. La centralisation des preuves simplifie les rapports internes et les évaluations externes.

Pourquoi la PDPL est importante pour la cyber-résilience et la conformité

La mise en œuvre du PDPL permet de clarifier les données personnelles que vous détenez, leur circulation et les personnes qui peuvent y accéder. Cette clarté réduit la probabilité et l'impact des violations, accélère la réponse aux incidents et limite la prolifération des données grâce à une minimisation et une conservation rigoureuses.

D'un point de vue commercial, la maturité PDPL accélère l'intégration des partenaires, raccourcit les examens de sécurité et de confidentialité et renforce la confiance des régulateurs envers les entreprises opérant dans le Royaume. Elle améliore la qualité des données en supprimant les doublons et les enregistrements obsolètes et fournit un récit défendable en cas d'incident. La PDPL peut être considérée comme un élément central des modèles opérationnels de sécurité et de confidentialité des organisations.

FAQ

La PDPL est-elle identique au RGPD ?

Ils partagent des concepts fondamentaux, tels que leurs bases juridiques, leurs principes, leurs droits, leurs responsabilités et leurs restrictions de transfert, mais ils ne sont pas identiques. Les organisations opérant en Arabie saoudite doivent aligner leur programme sur les définitions de la PDPL et les directives des régulateurs locaux plutôt que de copier les modèles du RGPD.

Avons-nous besoin d'un délégué à la protection des données ?

La PDPL exige une responsabilité claire. De nombreuses organisations nommeront donc un DPD ou un équivalent. La décision d'embaucher un DPD doit être fondée sur l'ampleur du traitement et le risque ; les activités à haut risque rendent un rôle dédié plus nécessaire.

Combien de temps pouvons-nous conserver les données personnelles ?

Uniquement pendant la durée nécessaire aux fins indiquées ou requise par la loi. Définissez des calendriers de conservation au niveau des ensembles de données, automatisez la suppression lorsque cela est possible et documentez les exceptions telles que les conservations légales.

Quand une AIPD est-elle nécessaire ?

Lorsque le traitement est susceptible de présenter un risque élevé pour les personnes. Cela peut inclure des activités telles que le traitement à grande échelle de données sensibles, la surveillance systématique ou la combinaison d'ensembles de données qui augmentent considérablement le risque. Les AIPD doivent être utilisées avant le lancement ou la mise en œuvre de changements organisationnels importants.

Devons-nous signaler chaque violation ?

Non. Les autorités, et parfois les personnes concernées, ne doivent être informées que lorsqu'un préjudice est probable. Les critères et les processus décisionnels doivent être définis dans votre plan d'intervention afin de garantir une action rapide et cohérente.

Comment gérer les fournisseurs de services cloud étrangers ?

Vérifiez l'emplacement des données, les chemins d'accès, les mesures de sécurité relatives au transfert et les obligations en cas d'incident. Assurez-vous que les contrats permettent l'exercice des droits et la suppression sécurisée, et conservez une évaluation documentée des conditions dans le pays de destination.

Mettre en œuvre la PDPL avec moins d'efforts

Si vous êtes en train de mettre en place ou de perfectionner votre programme PDPL, Cyberday vous Cyberday aller plus vite en utilisant moins de feuilles de calcul. Utilisez des contrôles PDPL prêts à l'emploi, des modèles RoPA/DPIA, des workflows DSAR et de violation, ainsi que des preuves centralisées pour être prêt pour les audits tout en réduisant les frais généraux manuels. Cartographiez une seule fois et réutilisez dans plusieurs cadres pour gagner du temps.

Commencez votre essai gratuit de 14 jours

Commencez votre essai gratuit dès aujourd'hui. Aucune carte de crédit n'est requise. Accès complet, risque zéro. Annulez à tout moment.

Commencer un essai gratuit

Autres articles sur le même thème

Voir la collection ISO 27001
Voir la collection complète de NIS2

Autres articles de blog

Plus d'articles dans la catégorie

22.12.2025

Comprendre la loi saoudienne sur la protection des données personnelles (PDPL)

Comprenez comment fonctionne la loi sur la protection des données personnelles en Arabie saoudite et en quoi elle diffère des cadres similaires tels que le RGPD.
22.12.2025

Comprendre le cadre d'évaluation cybernétique 4.0 (CAF 4.0) du Royaume-Uni

Découvrez comment le Cyber Assessment Framework 4.0 aide les organisations à gérer les risques cybernétiques, à renforcer leur résilience et à prendre de meilleures décisions en matière de leadership grâce à des résultats clairs et à une évaluation pratique.
06.11.2025

Qu'est-ce que le Cyberbeveiligingswet ? Introduction au NIS2 néerlandais

Découvrez les exigences de la loi néerlandaise Cyberbeveiligingswet (NIS2), qui doit s'y conformer et comment s'y conformer rapidement à l'aide d'étapes et de conseils clairs.
Amélioration de la conformité sans effort
La plus grande bibliothèque de cadres de l'UE
Un soutien étendu

Commencez votre parcours de conformité

Utilisez MS Teams ou votre navigateur avec l'intégration Slack.
Essai sans risque. Aucune carte de crédit n'est requise. Arrêtez à tout moment.

Commencer un essai gratuit
Réserver une réunion
Comment cela fonctionne-t-il ?
RésuméTâches et assurance de la sécuritéFlux de travail de documentationDirectives pour les employésModèles de rapportCentre fiduciaire
Cas d'utilisation
Par cadreTous les cadresISO 27001Directive NIS2NIST CSFCSA CCMISO 27701GDPRISO 27017ISO 27018
Par méthodeGestion du risque cybernétiqueSensibilisation des employésRapport de conformitéGestion des contrôlesGestion des actifsGestion de la vie privéeÉvaluation des fournisseursAudits internes
Ressources
AcadémieWebinarsBlogArticles d'aideCours vidéoCentre fiduciaireBibliothèque de contenuGuidesBulletinLaissez un commentaireProgramme de partenariatTeamConditions d'utilisationPolitique de confidentialité
Contactez nous
+358 10 231 6010
team@cyberday.ai
L'application fonctionne dans :
Connu en Finlande sous le nom de Digiturvamalli
© Cyberday Inc. Kalevantie 2 33100 Tampere, Finlande
Cyberday.ai - Améliorer et certifier votre cybersécurité