Le traitement des données est un débat ancien entre les gouvernements, les entreprises et les géants de la technologie. Les grandes entreprises identifient les violations de la confidentialité des données et partagent la manière dont les données personnelles devraient être traitées et partagées de manière éthique. Les entités gouvernementales ont encadré leurs propres lois sur la protection des données et la vie privée afin de protéger les données personnelles de leurs résidents. Citons par exemple le GDPR, élaboré par les organes législatifs de l’Union européenne, et le CCPA, élaboré par la législature de l’État pour protéger les résidents de Californie aux États-Unis. Désormais, l’Arabie saoudite rejoint la liste des quelque 80 pays qui disposent de lois sur la protection des données dont la PDPL.
La loi sur la protection des données personnelles (PDPL) a été publiée au Official Gazette par le gouvernement saoudien le 24 septembre 2021 et entrera en vigueur le 23 mars 2022. La loi PDPL s’applique à toutes les entreprises d’Arabie saoudite, quel que soit leur secteur d’activité, contrairement aux autres lois saoudiennes sur la protection de la vie privée.
La PDPL protège les informations personnelles identifiables (PII) qui comprennent le nom, le numéro d’identification, les adresses et les numéros de contact, les photographies et les enregistrements vidéo des résidents d’Arabie saoudite. Elle s’applique à toute entreprise ou établissement public qui traite des données personnelles en Arabie saoudite, quel que soit le mode de collecte des données. Elle inclut également le traitement des données personnelles des résidents d’Arabie saoudite par des établissements situés hors d’Arabie saoudite.
Les conversations sur la confidentialité des données tournent autour du consentement. La PDPL exige le consentement des personnes pour que toute entité traite leurs informations et données personnelles.
La PDPL exige que les organisations traitant des données personnelles fournissent les détails de leur politique de confidentialité et expliquent comment les données de l’individu sont traitées. Ces organisations sont également tenues de supprimer les informations personnelles obtenues “s’il apparaît clairement qu’elles ne sont plus nécessaires pour atteindre l’objectif de leur collecte.”
La PDPL exige que toute fuite de données, toute violation de données ou tout accès non autorisé soit signalé aux plus hautes autorités. Si ces actions causent des dommages matériels, la loi sur la protection des données exige alors que les organisations informent la personne dont les données personnelles ont été compromises.
Que se passe-t-il si une organisation n’adhère pas à l’une des dispositions de la PDPL ?
Si des données à caractère personnel sont divulguées ou publiées par une entité sans respecter la PDPL, la sanction peut aller jusqu’à deux ans d’emprisonnement ou une amende pouvant atteindre 3 000 000 SAR (800 000 USD).
Si des données personnelles sont transférées en violation de la PDPL, la sanction peut aller jusqu’à un an d’emprisonnement et une amende allant jusqu’à SAR 1 000 000 (USD 266 600).
Pour les violations liées à d’autres dispositions de la PDPL, les sanctions se limitent à un avertissement ou à une amende pouvant atteindre 5 000 000 SAR (1 333 000 USD).
En cas de récidive, les amendes peuvent être doublées et les personnes concernées par la non-conformité peuvent également demander une indemnisation.
L’évolution du paysage de la technologie numérique exige des lois transparentes qui protègent la vie privée des utilisateurs et interdisent aux organisations de monétiser leurs données personnelles de manière non éthique. La PDPL, qui entrera en vigueur l’année prochaine en Arabie saoudite, renforce cette protection en tenant les organisations responsables de la violation des données personnelles d’un utilisateur.
Les solutions de ManageEngine permettent d’atteindre et de maintenir la conformité à la PDPL. Nous collectons et analysons les données pour identifier et signaler toute vulnérabilité, tout indicateur de compromission ou toute activité suspecte. ManageEngine propose plus de 90 produits et outils gratuits qui aident votre organisation à sécuriser vos terminaux, empêchant tout accès aux données personnelles stockées dans votre environnement d’entreprise.
Pour en savoir plus sur la confidentialité des données, la protection des données et les technologies futures qui peuvent sécuriser et gérer votre entreprise, visitez ManageEngine au salon LEAP du 1er au 3 février 2022 au Riyadh International Convention & Exhibition Center, Riyadh, Arabie Saoudite.