Loi saoudienne sur la protection des donnees personnelles

Guide de conformite PDPL d'Arabie saoudite

La loi saoudienne sur la protection des donnees personnelles etablit des obligations completes de confidentialite des donnees pour les organisations traitant des donnees personnelles au KSA. Avec une application complete depuis septembre 2024, nous vous aidons a atteindre la conformite avec des processus clairs et une documentation prete pour l'audit.

Commencer l'evaluation de conformiteReserver une consultation

Qu'est-ce que la PDPL saoudienne ?

La loi saoudienne sur la protection des donnees personnelles (PDPL) est la reglementation complete de confidentialite des donnees du Royaume, promulguee par le decret royal M/19 de 2021. Les reglementations d'application ont ete publiees en septembre 2023, avec une application complete a partir du 14 septembre 2024.

Pourquoi c'est important maintenant : La PDPL est pleinement applicable avec la SDAIA menant des audits de conformite et des enquetes. Les organisations font face a des amendes allant jusqu'a 5 millions SAR et des sanctions penales potentielles pour les violations. Une conformite precoce demontre un engagement envers la protection des donnees.

Regulateur

Supervision SDAIA / NDMO

Application

Active depuis sept. 2024

Vous operez dans la region ? Considerez la conformite PDPL de Bahrein, PDPL du Qatar et PDPL des EAU.

Qui doit se conformer ?

Organisations en Arabie saoudite

Toutes les entites traitant des donnees personnelles sur le territoire du KSA

Sous-traitants de donnees de residents du KSA

Organisations en dehors du KSA traitant des donnees de residents saoudiens

Entites gouvernementales

Organisations du secteur public gerant les donnees des citoyens

Entreprises privees

Entreprises collectant des donnees de clients ou d'employes

Prestataires de soins de sante

Etablissements medicaux traitant des informations sur les patients

Institutions financieres

Banques et fintechs gerant des donnees financieres

Comment VerifyWise soutient la conformite PDPL saoudienne

Capacites dediees repondant a chaque exigence de la PDPL

Inventaire et cartographie des donnees personnelles

Maintenez des registres complets des activites de traitement avec les categories de donnees, les finalites, les bases juridiques et les durees de conservation. La plateforme structure votre inventaire de donnees pour demontrer la conformite a la PDPL et repondre aux demandes de la SDAIA.

Couvre : Article 7 (Registres de traitement), Article 4 (Limitation des finalites)

Gestion des droits des personnes concernees

Suivez et repondez aux demandes d'acces, de correction, de suppression et de portabilite avec des pistes d'audit. La plateforme assure des reponses dans les delais de la PDPL et conserve les preuves de conformite.

Couvre : Articles 5-11 (Droits des personnes concernees), Article 27 (Delais de reponse)

Controles de securite et de confidentialite

Documentez les mesures techniques et organisationnelles protegeant les donnees personnelles. La plateforme conserve les preuves des controles de securite, les procedures de reponse aux incidents et les workflows de notification de violation alignes sur les exigences de la PDPL.

Couvre : Article 22 (Securite), Article 23 (Notification de violation)

Suivi des transferts transfrontaliers

Enregistrez les transferts internationaux de donnees avec des evaluations d'adequation et le suivi des autorisations SDAIA. La plateforme documente les mecanismes de transfert, les garanties et conserve les approbations requises.

Couvre : Article 32 (Transferts internationaux), Article 33 (Protection adequate)

Documentation du consentement et des bases juridiques

Suivez la collecte du consentement, les retraits et les bases juridiques alternatives de traitement. La plateforme conserve les preuves de consentement valide et les fondements juridiques pour chaque activite de traitement.

Couvre : Article 6 (Exigences de consentement), Article 12 (Bases juridiques)

Designation du DPO et gouvernance

Gerez les exigences de designation du DPO, les structures de gouvernance et les cadres de responsabilite. La plateforme suit les responsabilites de conformite et conserve les politiques organisationnelles alignees sur la PDPL.

Couvre : Article 17 (Designation du DPO), Article 29 (Responsabilite)

Toutes les activites de conformite sont suivies avec des horodatages, des responsables et des workflows d'approbation. Cette piste d'audit demontre une conformite systematique pour les demandes et actions d'application de la SDAIA.

Couverture complete des exigences PDPL

VerifyWise fournit des outils dedies pour toutes les obligations cles de la PDPL

26

Exigences de controle PDPL

26

Controles avec outillage dedie

100%

Couverture sur toutes les exigences

Licite et transparence8/8

Base juridique, consentement, avis de transparence

Droits des personnes concernees7/7

Acces, correction, suppression, portabilite

Transferts transfrontaliers5/5

Protection adequate, autorisation SDAIA

Securite et confidentialite6/6

Garanties techniques et organisationnelles

Concu pour la conformite PDPL saoudienne

Documentation prete pour la SDAIA

Dossiers de preuves pour les audits et demandes

Automatisation des droits des personnes

Suivi des delais de 30 jours avec pistes d'audit

Suivi des transferts transfrontaliers

Evaluations d'adequation et workflows d'autorisation SDAIA

Mapping multi-juridictionnel

Correspondance vers les lois de confidentialite du CCG et internationales

Huit principes cles de la PDPL

Principes fondamentaux pour le traitement licite des donnees personnelles

Licite

Traiter les donnees personnelles uniquement sur des bases juridiques valides specifiees dans la PDPL.

Exigences cles

  • Base juridique valide
  • Justification documentee
  • Alignement des finalites

Transparence

Fournir des informations claires sur le traitement des donnees aux personnes concernees.

Exigences cles

  • Avis de confidentialite
  • Langage clair
  • Informations accessibles

Limitation des finalites

Collecter les donnees pour des finalites specifiques et explicites et eviter les usages secondaires.

Exigences cles

  • Finalites definies
  • Pas de derive
  • Documentation des finalites

Minimisation des donnees

Limiter la collecte aux donnees necessaires pour les finalites declarees.

Exigences cles

  • Evaluation de la necessite
  • Collecte proportionnee
  • Revue reguliere

Exactitude

S'assurer que les donnees personnelles sont exactes et tenues a jour.

Exigences cles

  • Verification de l'exactitude
  • Mecanismes de mise a jour
  • Processus de correction

Limitation de la conservation

Conserver les donnees personnelles uniquement aussi longtemps que necessaire pour les finalites.

Exigences cles

  • Calendriers de conservation
  • Procedures de suppression
  • Revue periodique

Confidentialite et securite

Proteger les donnees personnelles avec des mesures techniques et organisationnelles appropriees.

Exigences cles

  • Controles de securite
  • Restrictions d'acces
  • Normes de chiffrement

Responsabilite

Demontrer la conformite aux obligations de la PDPL et conserver les registres.

Exigences cles

  • Documentation
  • Preuves de conformite
  • Prets pour l'audit

Droits des personnes concernees en vertu de la PDPL

Sept droits complets accordes aux individus

Droit d'etre informe

Les personnes concernees doivent recevoir des informations claires sur le traitement des donnees.

Mise en oeuvre

  • Avis de confidentialite a la collecte
  • Divulgation des finalites de traitement
  • Informations sur les destinataires des donnees

Droit d'acces

Les personnes peuvent demander l'acces a leurs donnees personnelles.

Mise en oeuvre

  • Procedures de demande d'acces
  • Delai de reponse de 30 jours
  • Format de portabilite des donnees

Droit de correction

Les personnes concernees peuvent demander la correction de donnees inexactes.

Mise en oeuvre

  • Workflows de correction
  • Procedures de verification
  • Notification aux tiers

Droit a la suppression

Les personnes peuvent demander la suppression lorsque la base juridique cesse.

Mise en oeuvre

  • Procedures de demande de suppression
  • Verification de la base juridique
  • Effacement complet

Droit d'obtenir les donnees

Les personnes concernees peuvent obtenir leurs donnees dans un format utilisable.

Mise en oeuvre

  • Export de donnees structurees
  • Format lisible par machine
  • Option de transmission directe

Droit de retrait du consentement

Retrait facile du consentement sans affecter le traitement anterieur.

Mise en oeuvre

  • Mecanismes de retrait
  • Meme facilite que l'octroi
  • Cessation du traitement

Droit d'opposition aux decisions automatisees

S'opposer aux decisions basees uniquement sur un traitement automatise.

Mise en oeuvre

  • Option de revision humaine
  • Explication de la logique
  • Droit de contester

Ressources officielles

Visiter le site de la SDAIA →

Feuille de route de mise en oeuvre sur 18 semaines

Un parcours pratique vers la conformite PDPL saoudienne avec des jalons clairs

Phase 1Semaines 1-4

Cartographie des donnees et analyse des ecarts

  • Inventorier toutes les activites de traitement de donnees personnelles
  • Documenter les bases juridiques et les finalites
  • Identifier les transferts transfrontaliers de donnees
  • Evaluer les ecarts actuels de conformite PDPL
Phase 2Semaines 5-8

Gouvernance et politiques

  • Designer un DPO si necessaire
  • Developper des politiques alignees sur la PDPL
  • Creer des avis de confidentialite et formulaires de consentement
  • Etablir des procedures de droits des personnes concernees
Phase 3Semaines 9-14

Securite et controles

  • Mettre en oeuvre des mesures de securite techniques
  • Etablir des garanties organisationnelles
  • Creer des procedures de notification de violation
  • Documenter les preuves des controles de securite
Phase 4Semaines 15-18

Surveillance et conformite continue

  • Etablir la surveillance de la conformite
  • Former le personnel aux obligations de la PDPL
  • Mettre en oeuvre la diligence raisonnable des fournisseurs
  • Se preparer aux demandes de la SDAIA

Sanctions et application

Comprendre les pouvoirs d'application de la SDAIA et les consequences des violations

Amendes administratives

Jusqu'a 5 millions SAR pour les violations

  • Sanctions basees sur la gravite
  • Multiplicateurs pour violations multiples
  • Divulgation publique des violations

Sanctions penales

Jusqu'a 2 ans d'emprisonnement pour certaines infractions

  • Divulgation illicite
  • Traitement sans base juridique
  • Defaut de notification de violation

Autorite d'application

SDAIA via le Bureau national de gestion des donnees

  • Pouvoirs d'enquete
  • Audits de conformite
  • Ordres de mesures correctives

Consequences supplementaires

Restrictions d'activite et atteinte a la reputation

  • Suspension des operations
  • Avis d'application publics
  • Perte de confiance des clients

Environnement d'application actif

La SDAIA surveille activement la conformite par le biais d'audits, d'enquetes et de reponses aux plaintes. Les organisations devraient maintenir une prete continue a la conformite avec des preuves documentees de pratiques de protection des donnees, une supervision du DPO (le cas echeant) et un traitement systematique des droits des personnes concernees.

72h

Delai de notification de violation

30j

Reponse aux droits des personnes

5 M SAR

Amende administrative maximale

Modeles de politiques

Repertoire complet de politiques PDPL

Accedez a plus de 25 modeles de politiques de protection des donnees prets a l'emploi alignes sur la PDPL saoudienne, le RGPD et d'autres lois de confidentialite du CCG

Conformite essentielle

  • • Politique de protection des donnees
  • • Modele d'avis de confidentialite
  • • Politique de gestion du consentement
  • • Documentation des bases juridiques
  • • Registre des activites de traitement
  • • Charte de designation du DPO
  • + 3 politiques supplementaires

Droits et transferts

  • • Procedure de droits des personnes concernees
  • • Processus de demande d'acces
  • • Politique de suppression et correction
  • • Politique de transfert transfrontalier
  • • Politique de partage avec des tiers
  • • Normes de portabilite des donnees
  • + 2 politiques supplementaires

Securite et violation

  • • Politique de securite des donnees
  • • Plan de reponse aux violations
  • • Procedure de notification d'incident
  • • Politique de conservation et suppression
  • • Diligence raisonnable des fournisseurs
  • • Programme de formation des employes
  • + 2 politiques supplementaires
Parcourir tous les modeles de politiques

Comparaison de la PDPL saoudienne

Comprendre les relations entre les lois de confidentialite regionales et internationales

AspectPDPL saoudienneRGPDPDPL de BahreinPDPL des EAU
Champ d'application
Arabie saoudite et residents du KSAPersonnes concernees de l'UE et de l'EEEBahrein et residents bahreinisEAU et residents des EAU
Date d'application
14 septembre 202425 mai 20181er aout 20192 janvier 2022
Regulateur
SDAIA / NDMOAPD nationales / CEPDPDPOTDRA / APD locales
Amende maximale
5 M SAR (~1,3 M $)20 M EUR ou 4 % du CA20 000 BHD (~53 000 $)5 M AED (~1,36 M $)
Exigence de DPO
Base sur le risque (certains cas)Base sur le risque (obligatoire pour beaucoup)Optionnel mais recommandeBase sur le risque par emirat
Norme de consentement
Explicite pour les donnees sensiblesExplicite pour les donnees sensiblesExplicite pour les donnees sensiblesExplicite pour les donnees sensibles
Transferts transfrontaliers
Protection adequate + autorisationAdequation ou garantiesNotification PDPO requiseProtection adequate requise
Notification de violation
72 heures a la SDAIA72 heures a l'APD72 heures a l'autoriteSans retard injustifie a l'autorite
Ideal pour
Operations sur le marche du KSAAcces au marche de l'UEOperations a BahreinPresence sur le marche des EAU

Operations regionales : Les organisations operant dans le CCG devraient envisager une approche de conformite unifiee.PDPL de Bahrein,PDPL du Qatar etPDPL des EAUpartagent des principes similaires avec des nuances specifiques a chaque juridiction.

Discuter de la conformite multi-juridictionnelle

Questions frequemment posees

Questions courantes sur la conformite PDPL saoudienne

La loi sur la protection des donnees personnelles (PDPL) est la reglementation complete de l'Arabie saoudite en matiere de protection de la vie privee, promulguee par le decret royal M/19 de 2021. Les reglementations d'application ont ete publiees en septembre 2023, avec une application complete a partir du 14 septembre 2024 apres une periode de transition. Elle est reglementee par l'Autorite saoudienne des donnees et de l'intelligence artificielle (SDAIA) par le biais du Bureau national de gestion des donnees (NDMO).
La PDPL s'applique a toute organisation qui traite des donnees personnelles en Arabie saoudite, ou qui traite des donnees personnelles de residents saoudiens quel que soit le lieu d'etablissement de l'organisation. Cela inclut les responsables de traitement et les sous-traitants, couvrant les entreprises privees, les entites gouvernementales et les organisations internationales avec des operations saoudiennes ou des clients saoudiens.
La designation d'un DPO est obligatoire pour les organisations dont les activites principales impliquent le traitement a grande echelle de donnees personnelles sensibles, un suivi systematique a grande echelle, ou selon la determination de la SDAIA basee sur l'evaluation des risques. Meme lorsque ce n'est pas obligatoire, designer un DPO demontre un engagement envers la conformite et est considere comme une bonne pratique.
Les amendes administratives peuvent atteindre 5 millions SAR (1,3 million USD) selon la gravite de la violation. Certaines infractions graves sont passibles de sanctions penales pouvant aller jusqu'a 2 ans d'emprisonnement. Les consequences supplementaires comprennent la suspension des operations, la divulgation publique des violations et l'atteinte a la reputation. La SDAIA dispose de pouvoirs d'enquete et d'application pour assurer la conformite.
Bien qu'inspiree du RGPD, la PDPL saoudienne a des exigences distinctes. Toutes deux exigent une base licite de traitement, des droits des personnes concernees et des mesures de securite. Les differences cles incluent l'autorisation SDAIA pour les transferts transfrontaliers (vs decisions d'adequation), des amendes maximales plus basses et des dispositions specifiques alignees sur le cadre juridique saoudien. Les organisations operant dans les deux juridictions devraient traiter les exigences communes et uniques.
Les transferts transfrontaliers de donnees personnelles en dehors de l'Arabie saoudite necessitent soit : (1) un transfert vers un pays avec un niveau de protection des donnees adequate tel que determine par la SDAIA, soit (2) une autorisation explicite de la SDAIA. Les organisations doivent mettre en oeuvre des garanties appropriees et conserver la documentation des mecanismes de transfert, des destinations et des bases juridiques.
Les organisations doivent notifier la SDAIA dans les 72 heures suivant la prise de connaissance d'une violation de donnees personnelles presentant des risques pour les personnes concernees. La notification aux personnes affectees est requise lorsque la violation implique un risque eleve. La documentation de toutes les violations (qu'elles soient notifiables ou non) doit etre conservee pour demontrer la conformite.
Une mise en conformite PDPL typique prend 4 a 5 mois selon la taille de l'organisation, la complexite du traitement des donnees et la maturite existante en matiere de confidentialite. Les organisations devraient prioriser la cartographie des donnees, la designation du DPO si necessaire, le developpement des politiques et les procedures de droits des personnes concernees dans les phases initiales.
La PDPL accorde aux personnes concernees sept droits cles : (1) droit d'etre informe, (2) droit d'acces, (3) droit de correction, (4) droit a la suppression, (5) droit d'obtenir les donnees (portabilite), (6) droit de retrait du consentement, et (7) droit d'opposition aux decisions automatisees. Les organisations doivent repondre aux demandes de droits dans les 30 jours et conserver les pistes d'audit.
La PDPL inclut des dispositions specifiques pour la prise de decision automatisee et le profilage. Les personnes concernees ont le droit de s'opposer aux decisions basees uniquement sur un traitement automatise qui produisent des effets juridiques ou les affectent significativement. Les organisations doivent fournir des informations sur la logique impliquee et offrir des options de revision humaine. Pour une gouvernance complete de l'IA, consultez nos solutions de gestion des risques IA.
Non, le consentement est l'une des plusieurs bases juridiques de traitement. La PDPL reconnait plusieurs fondements, notamment la necessite contractuelle, les obligations legales, les interets vitaux, l'interet public et les interets legitimes. Cependant, un consentement explicite est requis pour le traitement de donnees personnelles sensibles (sante, biometriques, genetiques, religieuses, politiques, etc.). Choisissez la base juridique la plus appropriee pour chaque activite de traitement.
La PDPL saoudienne s'inscrit dans une tendance plus large du CCG vers une protection complete des donnees. Les organisations operant dans la region devraient considerer la PDPL de Bahrein, la PDPL du Qatar et la PDPL des EAU. Bien que les principes s'alignent, chaque loi a des exigences uniques, des calendriers d'application et des autorites de regulation distincts.
Oui, VerifyWise fournit des outils dedies pour la conformite PDPL saoudienne, y compris les registres de traitement des donnees, la gestion des droits des personnes concernees, le suivi du consentement, la documentation des transferts transfrontaliers et les preuves des controles de securite. Notre plateforme conserve une documentation prete pour l'audit et vous aide a demontrer la conformite a la SDAIA lors de demandes ou d'audits.

Pret a atteindre la conformite PDPL saoudienne ?

Commencez votre parcours de conformite avec notre evaluation guidee et nos outils de documentation coneus pour les exigences de la SDAIA.

Commencer l'evaluation de conformitePlanifier une consultation
KSA PDPL compliance guide: SDAIA, DPIA, enforcement dates