Arabie Saoudite Conformité PDPL : Comment se préparer

La loi saoudienne sur la protection des données personnelles (LPDP) a été créée pour protéger la vie privée des particuliers et des entreprises du Royaume d'Arabie saoudite (RAS). Elle s'applique à toute entité opérant en Arabie saoudite et impose aux responsables du traitement et aux sous-traitants la responsabilité de la protection des données personnelles des particuliers et des entreprises.

Quelle est la loi saoudienne sur la protection des données personnelles ?

La PDPL est la première loi complète sur la protection des données en Arabie saoudite. Elle vise à protéger la confidentialité des données personnelles des individus et à réglementer la collecte, le traitement, la divulgation et la conservation des données personnelles par les organisations.

La PDPL fournit des exigences complètes relatives aux principes de traitement, droits des personnes concernées, les obligations des organisations lors du traitement des données personnelles des individus, et transferts de données transfrontaliers mécanismes et prévoit des sanctions pour les organisations en cas de non-respect de la PDPL.

PDPL vs RGPD

Depuis son adoption en 2016, le Règlement général sur la protection des données (RGPD) a influencé de nombreuses législations ultérieures en matière de confidentialité, de protection et de gouvernance des données. En comparant la LPDP et le RGPD, on constate que le cœur des deux lois est similaire. Cependant, plusieurs différences essentielles doivent être notées.

La loi émiratie sur la protection des données ne fournit pas autant d'informations sur la manière dont les personnes concernées peuvent faire valoir leurs droits. De plus, la PDPL impose des restrictions plus strictes aux organisations souhaitant transférer des données personnelles hors d'Arabie saoudite. Parmi les autres différences, on peut citer les obligations d'enregistrement des responsables du traitement des données et l'importance accrue accordée par la PDPL au consentement comme condition préalable à un traitement licite des données.

La publication du règlement d'application devrait clarifier les exigences de la PDPL. Le projet de règlement a été mis à la disposition du public le 10 mars 2022, et la version finale devrait être publiée avant l'entrée en vigueur de la loi en 2023.

Règlement exécutif du PDPL

Les réglementations exécutives de la KSA PDPL couvrent un large éventail d'initiatives de protection des données, notamment :

• Autorité de régulation : Toute autorité gouvernementale ou toute entité dotée d'une personnalité publique indépendante et ayant, conformément à ses pouvoirs et responsabilités, des devoirs et responsabilités de réglementation ou de surveillance sur un certain secteur ou une certaine activité dans le Royaume.
• Marketing direct : Communication, par quelque moyen que ce soit, avec une personne ou un groupe de personnes, visant à envoyer du matériel de marketing, de publicité ou de sensibilisation à cette personne ou à ce groupe.
• Besoin pratique : Nécessité réelle de traiter les données personnelles, avec équité et intégrité et sans entrer en conflit avec les droits et les attentes de la personne concernée.
• Violation de données personnelles : Tout acte, de quelque manière que ce soit, conduisant à la divulgation illégale de données personnelles, qu’il soit intentionnel ou non.
• Risques et impacts : La possibilité que les personnes concernées par les données personnelles subissent un dommage en raison du traitement de leurs données personnelles et l’impact d’un tel risque.
• Anonymisation : Supprimer toute caractéristique directe ou indirecte des Données Personnelles qui pourrait permettre d’identifier spécifiquement la Personne Concernée.
• Transfert de données personnelles vers l'extérieur du Royaume : Envoyer ou partager des Données Personnelles, par quelque moyen que ce soit, à ou avec une entité située en dehors du Royaume, afin de traiter ces Données Personnelles en tout ou en partie, à des fins spécifiques fondées sur une justification légale ou un Besoin Pratique.
• Consentement implicite : Consentement qui n'est pas donné explicitement par la personne concernée ou la personne autorisée, mais donné implicitement par les actions de la personne et les faits et circonstances de la situation

Traitement des données PDPL

La PDPL ne s'applique qu'aux responsables du traitement et aux sous-traitants établis en Arabie saoudite ou qui traitent les données personnelles de personnes physiques résidant en Arabie saoudite. Toutefois, la loi s'applique également aux responsables du traitement et aux sous-traitants opérant hors du pays s'ils traitent les données de personnes physiques résidant en Arabie saoudite.

La PDPL définit certains principes essentiels que les responsables du traitement et les sous-traitants des données doivent respecter, notamment :

• Les responsables du traitement et les sous-traitants doivent obtenir le consentement d’une personne avant de collecter, d’utiliser, de transférer ou de stocker des données personnelles.
• Consentement explicite est nécessaire pour traiter des données sensibles à des fins de marketing et de publicité.
• Les données personnelles doivent être collectées et utilisées uniquement à des fins légitimes.
• Les responsables du traitement et les sous-traitants doivent s’assurer que les données personnelles sont exactes, pertinentes et à jour.
• Les données personnelles doivent être conservées en toute sécurité et ne doivent pas être divulguées à des tiers sans le consentement écrit de la personne concernée.
• Les responsables du traitement et les sous-traitants doivent supprimer toutes les données personnelles qui ne sont plus nécessaires.
• Les responsables du traitement et les sous-traitants doivent fournir aux personnes concernées des informations sur la manière dont leurs données sont utilisées.
• Les responsables du traitement ne peuvent pas utiliser de communications personnelles (y compris par courrier postal et par courrier électronique) pour envoyer des publicités ou du matériel d'information à une personne concernée par des données personnelles sans son consentement préalable.
• Les contrôleurs doivent fournir des informations claires se désengager mécanismes.

Droits des consommateurs PDPL

L'article 4 des modifications proposées à la PDPL crée des droits exécutoires en matière de données pour les citoyens saoudiens (personnes concernées), notamment le droit d'accès, le droit de rectification et le droit de suppression. De plus, la PDPL ne permet pas de modifier les données traitées sans le consentement du consommateur. Cependant, comme dans le RGPD, les consommateurs peuvent également retirer leur consentement (sans exception).

• Droit d'être informé : les consommateurs doivent être informés de la base juridique et de la finalité de l’utilisation des données personnelles.
• Droit d'accès : Les consommateurs peuvent demander leurs informations et ont le droit de savoir comment les données sont collectées, stockées, traitées et partagées.
• Droit de rectification : Les consommateurs peuvent demander des mises à jour et des corrections au responsable du traitement. Toutefois, ce dernier doit également informer toutes les parties ayant reçu les informations de la nécessité de corriger, compléter ou mettre à jour les données personnelles.
• Droit à la destruction : Les consommateurs peuvent demander la suppression, sauf exceptions, par exemple si les données sont nécessaires à une finalité légale et ne sont conservées que pendant une certaine période. De plus, les responsables du traitement peuvent conserver les données personnelles après la fin de la finalité de la collecte s'ils en suppriment les éléments d'identification.
• Droit d'obtenir : Les consommateurs ont le droit d’obtenir leurs données personnelles dans un format clair et concis, y compris le droit de demander le transfert de données.

Registre des activités de traitement

En vertu de la LPDP, les organisations doivent tenir un registre des activités de traitement des données personnelles, afin que les documents soient disponibles à toute demande de l'Autorité. Ce registre doit contenir au minimum les informations suivantes :

• Finalité du traitement
• Une description des catégories de personnes concernées ;
• Les coordonnées de l'organisation
• Toute autre entité à laquelle des données personnelles ont été/seront divulguées.
• Si les données personnelles ont été/seront transférées ou divulguées en dehors de l'Arabie saoudite ;
• La période prévue pendant laquelle les données personnelles doivent être conservées.

Évaluations des risques liés à la vie privée

En vertu de la PDPL, les organisations sont tenues de réaliser une évaluation des risques liés au traitement des données personnelles dans le cadre de tout produit ou service destiné aux consommateurs. Dans les cas nécessitant une évaluation des risques, des informations supplémentaires obligatoires doivent être fournies, telles que les types de données sensibles concernées ou une description des activités de traitement automatisé.

Minimisation des données

Des directives sont fournies pour respecter l'exigence de la PDPL selon laquelle la collecte de données personnelles doit être strictement limitée à ce qui est nécessaire à une finalité spécifique, évitant ainsi toute collecte de données pour une utilisation ultérieure non spécifiée. Ces directives énoncent les principes clés pour les responsables du traitement, couvrant l'ensemble du cycle de vie des données, de la collecte à la destruction. Les organisations doivent établir un besoin légitime de données, utiliser des méthodes de collecte claires et sécurisées et éliminer les données de manière sécurisée lorsqu'elles ne sont plus nécessaires. De plus, les responsables du traitement sont tenus d'évaluer régulièrement leurs données et de s'assurer que les activités de traitement sont structurées de manière à éviter toute collecte inutile de données.

Destruction, anonymisation et pseudonymisation

La LPDP exige la destruction des données personnelles, y compris à la demande de la personne concernée ou après le retrait de son consentement. Elle impose aux responsables du traitement de suivre des procédures strictes pour garantir l'effacement définitif de toutes les copies, y compris les sauvegardes, et que tous les destinataires des données fassent de même. De plus, le recours à des techniques efficaces d'anonymisation et de pseudonymisation, telles que le masquage, le chiffrement, la généralisation et l'agrégation des données, constitue une garantie essentielle pour la protection des données personnelles.

Violations de données

La PDPL exige des organisations qu'elles mettent en place des mesures de protection appropriées pour protéger les données personnelles contre tout accès, divulgation et utilisation non autorisés. De plus, la loi établit des règles strictes. notification de violation de données exigences auxquelles les organisations doivent se conformer en cas de violation de données.

La PDPL exige que les organisations informent l'autorité de régulation dans les trois jours suivant la violation. De plus, elles doivent fournir une analyse complète de la faille et indiquer les mesures à prendre pour assurer leur responsabilité future.

Si une organisation prend connaissance d’une violation susceptible de causer un préjudice à une personne, cette personne doit en être informée conformément aux exigences de notification de la PDPL.

Transfert et partage de données

La SDAIA a optimisé son cadre de transfert de données afin de mieux l'aligner sur les normes internationales telles que le RGPD. Les organisations doivent mettre en œuvre des mesures de protection appropriées lors du transfert de données personnelles vers des pays dont le niveau de protection des données n'est pas reconnu par la SDAIA comme étant adéquat.

Les transferts d'informations personnelles à destination et en provenance d'Arabie saoudite en vertu de la PDPL sont les suivants :

• Les transferts de données sont autorisés à un tiers sous réserve de règles légales ou de protection des données d'entreprise similaires à la PDPL.
• Certains types de transfert sont exemptés des conditions, par exemple lorsqu’une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un accord.
• L’article 4 stipule que les responsables du traitement doivent mettre en œuvre des garanties pour le transfert de données à caractère personnel, telles que des clauses contractuelles types, des règles communes contraignantes et des certificats d’accréditation.
• L’article 4 prévoit que les responsables du traitement qui s’appuient sur les garanties appropriées disponibles seront exemptés de l’obligation de transférer la quantité minimale de données à caractère personnel nécessaire.
• Les divulgations et transferts de données sont limités aux données personnelles minimales requises.
• Les transferts de données doivent préserver l’intérêt, la santé, la sécurité ou protéger la vie ou la santé d’une personne spécifique
• Les transferts de données ne doivent pas porter atteinte à la sécurité nationale ou aux intérêts vitaux du Royaume d’Arabie saoudite.

Application de la loi PDPL en Arabie saoudite

Conformément à l'article 20(1) de la LPRPDE, les responsables du traitement sont tenus d'informer l'autorité compétente s'ils ont connaissance d'une violation de la sécurité des données. Le règlement d'application précisera les conditions dans lesquelles les responsables du traitement doivent informer les personnes concernées d'une violation de leurs données personnelles.

Toutefois, si la violation est susceptible de causer un préjudice important à la personne ou à ses données personnelles, le responsable du traitement doit l'en informer rapidement, comme indiqué à l'article 20(2) de la PDPL. Le règlement d'application de la PDPL des Émirats arabes unis prévoit des sanctions pour la divulgation ou la publication de données personnelles sensibles, pouvant aller jusqu'à deux ans d'emprisonnement et/ou une amende ne dépassant pas 3 millions de riyals saoudiens.

La sanction relative à la violation de la disposition relative au transfert de données prévue à l'article 29 de la PDPL peut entraîner une peine d'emprisonnement pouvant aller jusqu'à un an et/ou une amende ne dépassant pas 1 000 000 SAR. Pour les violations d'autres dispositions de la PDPL, les sanctions se limitent à un avertissement ou à une amende ne dépassant pas 5 000 000 SAR.

Atteignez la conformité PDPL avec BigID

En fin de compte, la PDPL vise à protéger la vie privée des personnes en Arabie saoudite et à garantir que les entreprises qui traitent des données personnelles soient tenues responsables de leur utilisation. Si vous collectez, utilisez, transférez ou stockez des données personnelles en Arabie saoudite, il est important de vous assurer de respecter la PDPL.

Avec BigID, les entreprises peuvent éviter les pénalités et anticiper les défis de conformité PDPL :

• Découvrir les données : Identifier les données personnelles et classer les données sensibles.
• Contextualiser les données : Corréler les relations entre les données en apportant un contexte aux données personnelles et aux données sensibles.
• Données d'étiquettes et de marquage à des fins juridiques : Assurez-vous que les données sont traitées conformément aux réglementations en matière de confidentialité.
• Enregistrement des activités de traitement : Gérer un registre des activités de traitement (RoPA) pour évaluer les actifs de données, la protection, l'état de violation, l'emplacement, l'AIP, le partage de données et les transferts
• Détecter les transferts de données transfrontaliers hors politique : Suivez les violations d'accès, d'utilisation et de transfert des données dans toute l'organisation pour une action immédiate.
• Automatiser l'exécution des droits sur les données : Automatisez l’exécution manuelle des demandes d’accès et de suppression de données individuelles.
• Obtenir le consentement : Automatisez le cycle de vie du consentement et des préférences sur tous les canaux, systèmes et applications de l'environnement, y compris le consentement aux cookies, le ciblage publicitaire, les e-mails, le marketing direct et le traitement des données personnelles et sensibles.
• Gérer les risques liés aux données : Découvrez, classez et cartographiez les données pour appliquer des contrôles de réduction des risques de violation et de mise en œuvre évaluations des impacts sur la vie privée (EIVP).
• Minimiser les données en double ou sensibles : Activez la minimisation des données avec l'identification des doublons et appliquez des règles de conservation basées sur un objectif légal.
• Rapport sur le risque lié aux données : Activez les flux de travail de correction et validez si des données sensibles sont capturées.
• Intégration aux applications : Étendez et enrichissez de manière transparente les solutions et flux de travail de sécurité, de confidentialité, de gestion et de conformité existants, y compris Nafath.

Toute organisation traitant les données personnelles des résidents d'Arabie saoudite doit s'assurer qu'elle est en conformité avec la PDPL et prêter une attention particulière à toutes les mises à jour publiées par les régulateurs au cours des prochains mois.

Découvrez comment BigID peut vous aider à garantir la conformité de votre organisation avec la PDPL.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.