Ce que la PDPL est réellement

La PDPL est la première loi globale sur la vie privée d'Arabie Saoudite. Elle a été émise par le décret royal M/19 en 2021, modifiée en mars 2023 pour l'aligner plus étroitement sur la norme mondiale établie par le GDPR et des régimes similaires, et est entrée pleinement en vigueur le 14 septembre 2024 après une période de grâce d'un an. La loi s'inscrit dans une pile de gouvernance des données saoudienne plus large qui comprend les réglementations provisoires nationales sur la gouvernance des données, le cadre réglementaire de l'informatique en nuage et les règles de liberté d'information de la SDAIA — mais pour les éditeurs, la PDPL est la pièce qui régit les cookies, le suivi publicitaire, les analyses et tout autre traitement de données personnelles lié à un site web ou une application.

Les Réglementations d'Application

La PDPL est courte. Les détails résident dans deux réglementations d'application publiées par la SDAIA en septembre 2023 et affinées tout au long de 2024 et 2025 : les Réglementations d'Application (générales) et les Réglementations sur le Transfert de Données Personnelles (transfrontalières). Ensemble, elles donnent aux éditeurs des réponses concrètes sur la qualité du consentement, la conservation, les délais de notification des violations et les conditions d'envoi des données des résidents saoudiens en dehors du Royaume. Quiconque travaille encore uniquement à partir du texte de 2021 lit une carte obsolète.

Le Calendrier d'Application que les Éditeurs Devraient Connaître

La SDAIA a donné aux organisations jusqu'au 14 septembre 2024 pour se mettre en pleine conformité. La première vague de lettres d'audit a été envoyée fin 2024 aux grands responsables du traitement dans les secteurs de la finance, des télécommunications et des services gouvernementaux. Tout au long de 2025, le programme d'audit s'est élargi pour inclure les médias financés par la publicité, l'e-commerce et toute plateforme traitant plus d'un volume défini de données de résidents saoudiens. D'ici 2026, la SDAIA a signalé que les petits et moyens éditeurs sont désormais dans le champ d'application — en particulier tout opérateur dont le contenu en langue arabe ou les dépenses publicitaires signalent un public saoudien délibéré.

Qui la SDAIA Considère comme Responsable du Traitement

La PDPL s'applique de manière extraterritoriale. Vous n'avez pas besoin d'une entité saoudienne, d'un serveur saoudien ou d'un compte bancaire saoudien pour être un responsable du traitement en vertu de la loi. Si votre site ou application traite les données personnelles de personnes résidant dans le Royaume, vous êtes dans le champ d'application. Pour les éditeurs, ce crochet est déclenché par le flux de données ad-tech habituel : les adresses IP, les ID d'appareils, les e-mails hachés, les cookies comportementaux et les identifiants d'utilisateurs qui circulent dans les enchères programmatiques comptent tous comme données personnelles lorsqu'ils sont liés à un résident saoudien.

L'Exigence de Représentant Local

Les responsables du traitement étrangers sans présence dans le Royaume doivent nommer un représentant local enregistré auprès de la SDAIA. Le représentant est un point de contact juridique pour les demandes des personnes concernées et la correspondance avec le régulateur. Les éditeurs plus petits gèrent souvent cela par l'intermédiaire d'une société de services de confidentialité plutôt qu'en s'incorporant localement — mais la nomination est obligatoire une fois que vous franchissez le seuil du traitement saoudien régulier.

Scénarios de Responsabilité Conjointe pour l'Ad Tech

La chaîne d'approvisionnement qui monétise un emplacement publicitaire programmatique — votre CMP, votre serveur publicitaire, les SSP que vous appelez, les DSP qui enchérissent, les vendeurs de vérification et les partenaires de mesure — crée des relations de responsabilité conjointe et solidaire en vertu de la PDPL, tout comme en vertu du GDPR. Les éditeurs ne peuvent pas transférer la responsabilité PDPL à un fournisseur. La SDAIA s'attend à ce que l'éditeur démontre que chaque partenaire en aval dispose de sa propre base juridique et de ses propres engagements contractuels qui correspondent à ce que l'éditeur a promis dans la bannière de consentement.

Consentement aux Cookies en Vertu des Réglementations d'Application

La PDPL reconnaît le consentement comme l'une des bases juridiques du traitement des données personnelles, et les Réglementations d'Application précisent à quoi ressemble un consentement valide. La norme est élevée — plus proche du GDPR que du CCPA — et elle couvre les cookies, les pixels, les SDK, la prise d'empreintes digitales et toute autre technologie de suivi qui lit ou écrit des données sur l'appareil d'un utilisateur.

Ce qui Compte comme Consentement Valide

Le consentement doit être librement donné, spécifique, éclairé et explicite. Les cases pré-cochées, les murs de cookies qui bloquent le contenu sauf si l'utilisateur accepte, et les notices ambiguës « en continuant à naviguer » échouent toutes à la norme. L'utilisateur doit effectuer une action affirmative sans ambiguïté — généralement un clic sur un bouton Accepter — et cette action doit être liée à une description claire des finalités du traitement. Le consentement groupé qui regroupe l'analyse, la publicité et la personnalisation en un seul oui-ou-non est explicitement interdit.

Catégories de Finalités Granulaires

Les orientations de la SDAIA listent les catégories de finalités qu'un CMP éditeur doit exposer : strictement nécessaire, fonctionnel, analytique, publicitaire, personnalisation et tout traitement de données sensibles telles que les inférences de santé ou biométriques. Chaque catégorie a besoin de son propre bouton bascule, de sa propre description de finalité et de sa propre liste de fournisseurs. Le cadre IAB Europe TCF v2.3, convenablement étendu avec du texte spécifique à la PDPL en arabe, est la voie la plus courante que les éditeurs utilisent pour satisfaire à l'exigence de granularité.

Retrait et Re-Consentement

Le droit de retirer le consentement doit être aussi facile que le droit de le donner. Une icône flottante de préférences de consentement, un lien de pied de page ou un panneau de paramètres dans l'application sont tous admissibles ; un opt-out par e-mail uniquement enterré ne l'est pas. Les éditeurs doivent prévoir un re-consentement périodique sur les changements matériels — un nouveau partenaire publicitaire, une nouvelle finalité de cookie, un nouveau SDK — et la SDAIA s'attend à ce que le journal d'audit du CMP enregistre chaque événement de re-consentement avec un horodatage.

Transferts Transfrontaliers et Localisation des Données

Les Réglementations sur le Transfert de Données Personnelles sont la partie de la PDPL la plus susceptible de faire trébucher les éditeurs, car au moment où l'adresse IP d'un utilisateur saoudien entre dans une enchère programmatique, elle a effectivement été transférée là où opèrent les SSP et les DSP. La SDAIA ne considère pas cela comme un flux libre.

La Liste d'Adéquation et les Contrats Standard

Un responsable du traitement peut transférer des données personnelles en dehors du Royaume selon l'un des trois mécanismes principaux : une décision d'adéquation approuvée par la SDAIA pour le pays de destination, un contrat standard approuvé par la SDAIA, ou un ensemble de règles d'entreprise contraignantes pour les transferts intra-groupe. La liste d'adéquation à partir de 2026 comprend un petit nombre de voisins du GCC et une poignée de juridictions européennes, mais la plupart des destinations ad-tech — y compris les États-Unis — sont en dehors et nécessitent soit un contrat standard, soit une dérogation.

L'Évaluation de l'Impact des Transferts de Données

Pour les transferts à haut risque, la SDAIA exige une Évaluation de l'Impact des Transferts de Données (DTIA) documentée avant le début du transfert. C'est l'analogue saoudien de l'évaluation de l'impact des transferts de l'UE après Schrems II. Les éditeurs doivent travailler avec leur CMP et leurs fournisseurs ad-tech pour assembler des modèles de DTIA qui couvrent les flux programmatiques récurrents, et les actualiser chaque fois qu'un fournisseur change de lieu de traitement.

Étapes Pratiques de Conformité pour les Éditeurs

Le programme PDPL se décompose en cinq tâches opérationnelles qui s'alignent clairement sur le CMP existant d'un éditeur et sa pile publicitaire. Aucune d'elles n'est inconnue à quiconque a déjà mis en œuvre la conformité GDPR ou LGPD — la différence réside dans les détails du texte saoudien et dans les règles de transfert spécifiques.

Liste de Vérification de la Configuration CMP

Confirmez que votre bannière de consentement s'affiche en arabe pour les visiteurs KSA et en anglais pour tous les autres, que les catégories de finalités sont entièrement granulaires, que le chemin de refus global est en un clic et visuellement équivalent à tout accepter, et que la chaîne de consentement circule en aval via Google Consent Mode v2 ou votre intégration TCF. Assurez-vous que votre CMP enregistre un reçu de consentement spécifique à la PDPL avec un horodatage, la version de la politique et l'identifiant de l'utilisateur afin que les réponses aux audits puissent être assemblées en quelques minutes plutôt qu'en jours.

Journaux de Consentement et Piste d'Audit

Les équipes d'audit de la SDAIA demandent des preuves de consentement dans une forme familière : qui a consenti, à quoi, quand, avec quelle version de bannière et ce qu'on leur a dit au moment du consentement. Prévoyez la conservation de ces journaux pendant au moins deux ans et stockez-les d'une manière qui survive aux changements de fournisseur de CMP — l'exportation vers un entrepôt de données appartenant au responsable du traitement est le schéma le plus propre.

Flux de Travail des Droits des Personnes Concernées

La PDPL accorde des droits d'accès, de rectification, d'effacement et de portabilité, avec des délais de réponse de trente jours. Un éditeur avec une seule boîte de réception privacy@ et aucun flux de travail de billetterie manquera le délai plus souvent qu'il ne le respectera. Mettez en place un processus documenté d'entrée à la réponse, formez un propriétaire nommé et intégrez le flux de travail à vos dossiers de consentement CMP et serveur publicitaire afin que les demandes d'effacement se propagent en aval.

La Conclusion

La PDPL d'Arabie Saoudite en 2026 n'est pas un régime souple que les éditeurs peuvent déprioriser derrière le GDPR et le CCPA. La SDAIA dispose du financement, de la capacité d'audit et du soutien politique pour l'appliquer, et les règles de transfert transfrontalier en particulier créent une friction réelle avec la chaîne d'approvisionnement mondiale de l'ad-tech autour de laquelle les éditeurs doivent s'ingénier. La bonne nouvelle est que la PDPL emprunte suffisamment au GDPR pour qu'un éditeur ayant une posture de conformité européenne mature soit la plupart du chemin parcouru. Localisez votre bannière de consentement en arabe, superposez le texte de finalité spécifique à la PDPL sur votre configuration TCF existante, documentez vos mécanismes de transfert, nommez un représentant local si votre trafic saoudien le justifie, et votre audience KSA reste monétisable pendant que les opérateurs qui ont écarté la PDPL comme un exercice sur papier passent 2026 à lire des lettres d'audit.