1/ Champ d’application de la PDPL.

S’agissant du rationae materiae, cette réforme s’appliquera aux traitements de données personnelles des individus résidents dans le royaume saoudien.
Qui plus est, la réforme s’applique également aux traitements de données personnelles des résidents saoudiens décédés dès lors qu’ils permettent d’identifier une ou plusieurs membres de leur famille.
Cependant, la Personal Data Protection Law (PDPL) ne s’applique pas aux traitements de données dont les finalités sont domestiques.
Concernant le rationae loci, la PDPL s’applique :
 Aux traitements réalisés par les organisations privées ou publiques qui sont basées en Arabie Saoudite ;
 Aux traitements de données réalisés par des responsables de traitement situés à l’extérieur du royaume.

Toutefois, la PDPL ne s’appliquera aux responsables de traitements étrangers qu’après une période de 5 ans à compter de son entrée en vigueur (soit le 17 mars 2028).

2/ Les mesures clés.

S’agissant de la base légale, en principe le responsable de traitement devra obtenir au préalable le consentement de la personne concernée. Cela implique que ce dernier puisse être en mesure de retirer son consentement librement à tout moment.
Néanmoins, le consentement ne sera pas requis lorsque :
 Le traitement est réalisé dans le cadre d’une recherche scientifique ou qu’il permet la constitution de statistiques ;
 Le traitement est mis en œuvre par une organisation publique et qu’il a vocation à garantir la sécurité publique ou le lancement d’actions judiciaires ;
 Le traitement est imposé par la loi ;
 La personne concernée est partie à un contrat dont l’application nécessite le traitement de ses données personnelles ;
 Le traitement permet d’obtenir un « bénéfice clair » sous réserve qu’il soit impossible de prendre contact avec la personne concernée.

S’agissant de l’obligation d’enregistrement, elle s’impose à toutes les entités soumises à la PDPL. Cette exigence légale consiste au paiement de frais annuels pour assurer son inscription au sein d’une base de données administrée par l’autorité compétente. Par ailleurs, les responsables de traitements étrangers devront impérativement désigner un représentant légal national qui fera office de point de contact avec l’autorité compétente saoudienne.

S’agissant des transferts de données internationaux, ils sont en principe interdits par le PDPL. Des exceptions subsistent, notamment quand ces flux de données permettent de prévenir des épidémies, de sauver la vie de la personne concernée, permettre l’exécution des conventions liant le Royaume ou encore quand ces transferts sont réalisés pour servir les intérêts du Royaume.

En tout état de cause, ces flux internationaux de données devront au préalable, être approuvés par l’autorité compétente. Ce contrôle à priori permet au Royaume de s’assurer, d’une part que ces transferts n’incluront que les données strictement nécessaires aux finalités fixées, et d’autre part que ces flux de données ne menaceront ni la sécurité nationale, ni les intérêts vitaux du Royaume.

En sus de cela, à l’instar de plusieurs pays, le législateur saoudien semble s’être inspiré du Règlement Général relatif à la Protection des Données Personnelles (RGPD) dans plusieurs de ses dispositions.
Ainsi figure au sein de la Personal Data Protection Law (PDPL) :
 L’obligation de déterminer une base légale au traitement ;
 L’obligation de transmettre à la personne concernée toutes les informations mentionnées dans la loi ;
 L’obligation de s’assurer que toutes les données collectées et traitées sont exactes, nécessaires et limitées à la finalité communiquée à la personne concernée ;
 L’obligation de notifier toutes les violations de données personnelles (ex : la divulgation d’informations personnelles à des tiers non autorisés, l’altération ou la destruction involontaire de telles informations, ou encore l’existence d’un accès illégal aux données personnelles) à l’autorité compétente dans les plus brefs délais dans la limite de 72 heures ;
 L’obligation d’informer promptement la personne concernée d’une violation ayant porté atteinte à ses données personnelles, lorsque cet incident engendre un risque significatif pour les droits et libertés de cette personne.

Au titre des divergences avec la législation européenne, la PDPL requiert qu’une analyse d’impact soit réalisée systématique quand un produit ou un service est fournie au public.

3/ Les sanctions.

La loi saoudienne prévoit 3 catégories de sanctions :
 La divulgation non autorisée de données sensibles peut être réprimée de 2 ans d’emprisonnement et/ou de 3 000 000 SAR ;
 La violation des règles encadrant les transferts de données peut être sanctionnée d’une peine d’emprisonnement d’une année et/ou d’une amende ne pouvant excéder 1 000 000 SAR ;
 Les violations de toutes les autres dispositions peuvent faire l’objet d’un avertissement ou d’une amende pouvant aller jusqu’à 5 000 000 SAR.

4/Conclusion.

Alors que cette réforme fait de l’Arabie saoudite un des précurseurs de la protection des données au Moyen-Orient (à date seuls 5 Etats moyen-orientaux sont dotés d’une législation en la matière), la Commission Européenne n’a adoptée aucune décision d’adéquation à l’égard du Royaume. Cela ne signifie pas que les transferts de données à destination du Royaume sont proscrits par la législation européenne, mais des garanties appropriées supplémentaires devront être adoptées pour sécuriser les transferts de données entre les pays membres de l’Union Européenne (ou de l’Espace Economique Européen) et le Royaume d’Arabie Saoudite.