Skip to main content
PromptQuorumPromptQuorum
Accueil/LLMs locaux/PDPL saoudienne et souveraineté des données : pourquoi l'IA doit fonctionner dans le Royaume (2026)
Enterprise

PDPL saoudienne et souveraineté des données : pourquoi l'IA doit fonctionner dans le Royaume (2026)

·13 min de lecture·Par Hans Kuepper · Fondateur de PromptQuorum, outil de dispatch multi-modèle · PromptQuorum
Lire en:
🇺🇸en🇩🇪de🇫🇷fr🇯🇵ja🇨🇳zh🇪🇸es🇧🇷pt🇸🇦ar🇰🇷ko

La PDPL saoudienne (décret royal M/19) n'impose pas d'obligation générale de localisation des données, mais son cadre de transfert transfrontalier de l'article 29 — combiné aux exigences sectorielles dans le Royaume de la SAMA et au CLOUD Act américain — fait de l'exécution de l'IA localement sur site saoudien la voie de conformité la plus défendable pour les charges de travail d'entreprise impliquant des données personnelles.

La loi saoudienne sur la protection des données personnelles (PDPL — décret royal M/19, 16 septembre 2021) et son application active par la SDAIA depuis septembre 2024 ont rendu les transferts transfrontaliers de données d'IA nettement plus complexes. L'article 29 de la PDPL exige une approbation d'adéquation de la SDAIA, un contrôle de sécurité nationale et un niveau de protection équivalent dans la juridiction destinataire — et la SDAIA n'a pas encore publié sa liste des pays adéquats. Combiné à l'obligation de stockage dans le Royaume plus stricte de la SAMA pour les données financières et à la portée extraterritoriale du CLOUD Act américain, exécuter l'IA localement dans le Royaume constitue la voie de conformité la plus défendable pour les charges de travail à données sensibles. Ce guide expose le paysage réglementaire, les risques transfrontaliers et le déploiement de l'IA sur site. Cet article est fourni à titre informatif uniquement — consultez votre DPO et un conseil juridique qualifié en Arabie saoudite avant toute décision de conformité.

Points clés

  • PDPL = décret royal M/19 (publié le 16 septembre 2021, modifié par le M/148 en 2023) : en vigueur le 14 septembre 2023, conformité totale exigée depuis le 14 septembre 2024. Régulateur : SDAIA (Autorité saoudienne des données et de l'intelligence artificielle).
  • Aucune obligation générale de localisation. La PDPL est un cadre de *transfert* réglementé (article 29), non une règle absolue de stockage dans le Royaume — mais les conditions de transfert sont strictes et la SDAIA n'a pas encore publié sa liste des pays adéquats.
  • Application active : les comités d'application de la SDAIA ont rendu 48 décisions formelles de violation depuis le début de l'application totale en septembre 2024.
  • Sanctions : jusqu'à 5 000 000 SAR (~1,33 M USD), doublées pour les récidivistes ; amendes pénales jusqu'à 3 000 000 SAR plus poursuites pour divulgation intentionnelle de données sensibles.
  • Risque CLOUD Act : les fournisseurs de nuage dont le siège est aux États-Unis (AWS, Azure, Google Cloud) peuvent être contraints de produire des données en vertu de 18 U.S.C. § 2713, même depuis des centres de données de la région saoudienne. Aucun accord bilatéral CLOUD Act américano-saoudien n'existe.
  • La SAMA est plus stricte : les établissements financiers doivent conserver les données bancaires de base, clients et de transactions physiquement dans le Royaume et obtenir l'approbation préalable de la SAMA avant d'utiliser tout service en nuage.
  • L'IA locale supprime entièrement l'article 29 : si l'inférence ne quitte jamais vos locaux, il n'y a aucun transfert transfrontalier à réglementer, et la surface d'attaque du CLOUD Act disparaît.
  • Pas un avis juridique. Consultez votre DPO et un conseil qualifié en Arabie saoudite avant de vous fonder sur toute position de conformité de cet article.

📍 En une phrase

L'article 29 de la PDPL saoudienne, les règles du secteur financier de la SAMA et le CLOUD Act américain font ensemble de l'IA locale sur site la voie de conformité la plus défendable pour les données personnelles dans le Royaume.

💬 En termes simples

La loi saoudienne n'oblige pas toutes les données à rester dans le pays, mais transférer des données à l'étranger est fortement restreint. Le moyen le plus simple de rester conforme est d'exécuter l'IA sur votre propre matériel en Arabie saoudite, afin qu'aucune donnée ne franchisse jamais de frontière.

PDPL saoudienne et SDAIA : le paysage réglementaire

La loi saoudienne sur la protection des données personnelles a été promulguée par le décret royal n° M/19 le 16 septembre 2021, substantiellement modifiée par le décret royal n° M/148 (27 mars 2023) et entrée en vigueur avec son règlement d'application le 14 septembre 2023. Une période de grâce d'un an a suivi ; la conformité totale est obligatoire pour toutes les entités publiques et privées depuis le 14 septembre 2024.

La SDAIA (Autorité saoudienne des données et de l'intelligence artificielle) est le régulateur compétent. Elle supervise et applique la PDPL, gère des comités d'application spécialisés et est responsable de la gouvernance nationale des données et de la stratégie d'IA dans le cadre de la Vision 2030.

L'application est réelle, non théorique. Depuis le début de l'application totale, les comités d'application de la SDAIA ont rendu 48 décisions formelles confirmant des violations de la PDPL. Les catégories de violation courantes incluent le traitement de données personnelles sans base légale valide, la divulgation non autorisée, le défaut de mise en œuvre de garanties techniques et organisationnelles, et le marketing non sollicité.

Portée extraterritoriale : la PDPL s'applique à tout traitement de données personnelles de personnes résidant en Arabie saoudite, quel que soit le lieu de l'organisation responsable du traitement — le même modèle de large portée que le GDPR.

Les données personnelles sensibles forment une catégorie distincte à protection renforcée couvrant sept types : origine raciale ou ethnique ; convictions religieuses, intellectuelles ou politiques ; casier judiciaire ; données biométriques utilisées pour l'identification ; données génétiques ; données de santé ; et données indiquant une filiation inconnue. Les transferts transfrontaliers continus ou à grande échelle de données sensibles requièrent une évaluation des risques obligatoire au titre du règlement sur les transferts.

Sanctions : amendes administratives jusqu'à 5 000 000 SAR (~1,33 M USD), pouvant être doublées en cas de récidive ; amendes pénales jusqu'à 3 000 000 SAR plus emprisonnement possible pour la divulgation intentionnelle de données personnelles sensibles dans le but de nuire ou pour un gain personnel.

Risques transfrontaliers de l'IA en nuage : article 29, CLOUD Act et adéquation SDAIA

Envoyer un prompt à une API d'IA en nuage est un transfert transfrontalier de données dès lors que ce prompt contient des données personnelles et que le serveur d'inférence se situe hors du Royaume. L'article 29 de la PDPL régit exactement ce scénario.

L'article 29 impose trois conditions cumulatives à tout transfert transfrontalier : (1) le transfert ne doit pas porter atteinte à la sécurité nationale ni aux intérêts vitaux du Royaume ; (2) la juridiction destinataire doit offrir un niveau de protection des données au moins équivalent à la PDPL, tel qu'évalué par la SDAIA ; et (3) seules les données personnelles strictement nécessaires peuvent être transférées (minimisation des données).

La SDAIA n'a pas encore publié sa liste des pays adéquats. Tant qu'elle ne l'a pas fait, les organisations ne peuvent se fier à une simple détermination « ce pays est adéquat ». En pratique, les transferts licites dépendent des clauses contractuelles types (SCCs, quatre variantes modulaires) émises par la SDAIA, des règles communes contraignantes (BCRs) pour les transferts intra-groupe, ou d'un certificat d'accréditation — chacun ajoutant une charge juridique et des obligations continues d'évaluation des risques.

Le CLOUD Act américain (18 U.S.C. § 2713) est le problème structurel que la plupart des entreprises saoudiennes négligent. Il oblige les fournisseurs de nuage dont le siège est aux États-Unis — AWS, Microsoft Azure, Google Cloud — à conserver et produire des données en réponse à une injonction valide du gouvernement américain, *quel que soit le lieu de stockage physique de ces données*. Les données situées dans une région AWS Riyad ou Azure Arabie saoudite restent accessibles.

Cela crée un conflit juridique direct. Le cadre réglementaire de l'informatique en nuage saoudien (CCRF) interdit aux fournisseurs de services en nuage de divulguer les données des abonnés sauf si la loi saoudienne l'exige. Un fournisseur américain destinataire d'une injonction CLOUD Act est simultanément contraint par la loi américaine de divulguer et interdit par la loi saoudienne de le faire. Aucun accord exécutif bilatéral CLOUD Act américano-saoudien n'existe (seuls le Royaume-Uni et l'Australie ont signé de tels accords avec les États-Unis), il n'existe donc aucun mécanisme de résolution clair.

Le tableau ci-dessous compare les trois modèles de déploiement aux dimensions clés de conformité saoudienne.

FacteurAPI en nuage basée aux États-UnisNuage en région saoudienne (AWS/Azure)IA locale sur site
Transfert de l'article 29 de la PDPLDéclenché — approbation SDAIA + adéquation + SCCs requisDonnées en KSA, mais fournisseur au siège américain — adéquation toujours non résolueNon déclenché — aucun transfert transfrontalier
Exposition au CLOUD ActÉlevée — le gouvernement américain peut contraindre la productionÉlevée — les serveurs de la région saoudienne n'offrent aucune protection contre le CLOUD ActAucune — matériel dans le Royaume, hors de la juridiction américaine
SAMA (secteur financier)Non conformePartielle — centre de données en KSA + approbation SAMA requisePleinement conforme
Risque d'application SDAIAÉlevéModéré — l'écart CLOUD Act subsisteMinime
Évaluation des risques des données sensiblesObligatoire à grande échelleRequise pour les transferts de données sensiblesNon requise — aucun transfert transfrontalier

Comment l'IA locale dans le Royaume résout le défi de conformité

Exécuter l'IA sur du matériel physiquement situé en Arabie saoudite élimine entièrement le transfert transfrontalier — et avec lui les parties les plus ardues de la conformité PDPL.

L'article 29 ne s'applique tout simplement pas. Si un prompt et son inférence ne quittent jamais vos locaux, il n'y a aucun transfert à évaluer, aucune détermination d'adéquation à attendre, aucun SCCs à exécuter et aucune évaluation des risques de transfert à déposer. L'obligation la plus complexe de la PDPL est supprimée au niveau de l'architecture.

La surface d'attaque du CLOUD Act disparaît. Les données traitées sur vos propres GPU, derrière votre propre pare-feu, ne sont pas détenues par un fournisseur au siège américain et ne sont donc pas accessibles par une injonction de production du gouvernement américain.

La conformité SAMA devient simple. Les établissements financiers qui doivent conserver les données bancaires de base et clients dans le Royaume peuvent exécuter l'inférence d'IA sur la même infrastructure nationale, sans approbation de nuage distincte et sans flux sortant à surveiller.

Vous conservez une piste d'audit complète. Chaque prompt, modèle et sortie reste dans des journaux que vous contrôlez — précisément ce que la SDAIA, la SAMA et la NCA attendent lors de l'audit des flux de données et des registres d'accès.

Cela s'aligne sur l'orientation nationale. L'Arabie saoudite a déclaré 2026 Année de l'intelligence artificielle, et le projet de Global AI Hub Law (2025) traite la souveraineté des données comme une priorité stratégique. L'IA locale dans le Royaume n'est pas un contournement — c'est l'architecture vers laquelle l'environnement réglementaire oriente activement.

Outils et modèles pour le déploiement d'IA locale dans le Royaume

Une pile d'IA locale de production nécessite un moteur d'inférence, une couche de service et un modèle — tous open source et déployables sur du matériel hébergé en Arabie saoudite.

  • Ollama — le moyen le plus simple d'exécuter des modèles ouverts en local ; téléchargements de modèles en une ligne, API compatible OpenAI et accélération GPU prête à l'emploi. Voir Que sont les LLM locaux ? pour les fondamentaux.
  • llama.cpp — le moteur d'inférence sous-jacent des modèles quantifiés GGUF ; contrôle maximal sur la quantification, la longueur de contexte et le réglage matériel pour CPU ou GPU.
  • vLLM — service à haut débit pour les charges de travail d'entreprise multi-utilisateurs ; paged attention et batching continu pour les requêtes simultanées en arabe.
  • Open WebUI — une interface de chat auto-hébergée avec contrôle d'accès basé sur les rôles et journalisation d'audit, adaptée aux équipes internes.
  • ALLaM 7B — le modèle arabe développé en Arabie saoudite (NCAI/SDAIA, désormais HUMAIN), publié sous Apache 2.0 avec des quantifications GGUF sur Hugging Face qui s'exécutent directement dans Ollama et llama.cpp. Le principal modèle arabe auto-hébergeable publiquement.
  • Qwen2.5 — une solide alternative multilingue lorsque vous avez besoin d'une large couverture linguistique aux côtés de l'arabe ; examinez les compromis dans LLM locaux multilingues.
  • Dimensionnement matériel — un modèle 7B nécessite environ 6–8 Go de VRAM en Q4_K_M ; un modèle 70B nécessite 40–48 Go. Utilisez le calculateur de VRAM pour dimensionner vos GPU dans le Royaume avant l'achat.

Notes sectorielles : SAMA, gouvernement et santé

Les règles sectorielles se superposent à la PDPL et sont souvent plus strictes — notamment sur la localisation des données.

Services financiers (SAMA). Les « Artificial Intelligence Principles for Financial Institutions » (2023) de la Banque centrale saoudienne lient toutes les entités agréées par la SAMA à des exigences de gouvernance de l'IA, de gestion des risques et de responsabilité. Le cadre réglementaire de l'informatique en nuage de la SAMA exige une approbation préalable avant l'utilisation de tout service en nuage, une approbation distincte pour le nuage hors Royaume, et impose que les systèmes bancaires de base, les données clients, les registres de transactions et les identifiants de paiement soient hébergés physiquement en Arabie saoudite. L'Autorité nationale de cybersécurité (NCA) applique en parallèle les contrôles essentiels de cybersécurité (ECC). Pour l'IA financière, l'inférence sur site est la voie de moindre résistance réglementaire.

Gouvernement et infrastructures critiques. Le cadre réglementaire de l'informatique en nuage restreint l'usage par les entités gouvernementales et les infrastructures nationales critiques de services en nuage étrangers pour les charges de travail sensibles. Le projet de Global AI Hub Law (2025) renforce les modèles de centres de données souverains. Le déploiement d'IA locale s'inscrit directement dans cette posture.

Santé. Les données de santé sont l'une des sept catégories de données sensibles de la PDPL, et attirent donc les conditions de transfert les plus strictes et des évaluations des risques obligatoires à grande échelle. Les attentes du ministère de la Santé en matière de traitement des données poussent fortement vers le traitement dans le pays. L'IA locale conserve les données des patients sur site de bout en bout. En France, la CNIL recommande le recours à l'IA locale pour les données professionnelles sensibles, ce qui conforte cette même orientation. Voir la liste de vérification sécurité et confidentialité des LLM locaux pour les étapes de vérification.

Ceci n'est pas un avis juridique. L'interprétation réglementaire dépend de vos données, de votre secteur et de vos activités de traitement spécifiques. Consultez votre DPO et un conseil juridique qualifié en Arabie saoudite avant d'agir sur la base de ce guide.

Foire aux questions : PDPL saoudienne et IA locale

La PDPL saoudienne exige-t-elle que toutes les données restent en Arabie saoudite ?

Non — la PDPL n'est pas une loi générale de localisation des données. Son article 29 est un cadre réglementé de transfert transfrontalier : les transferts à l'étranger ne sont autorisés que s'ils remplissent les conditions de sécurité nationale, de protection adéquate et de minimisation des données. Cependant, comme la SDAIA n'a pas encore publié sa liste des pays adéquats et que les règles sectorielles (SAMA, santé) peuvent imposer le stockage dans le Royaume, conserver les données dans le pays est souvent la voie conforme la plus simple.

Qu'est-ce que la SDAIA et quels sont ses pouvoirs ?

La SDAIA (Autorité saoudienne des données et de l'intelligence artificielle) est le régulateur compétent pour la PDPL. Elle supervise la conformité, gère des comités d'application, émet des clauses contractuelles types et des orientations sur les transferts, et peut imposer des amendes administratives jusqu'à 5 000 000 SAR — doublées pour les récidivistes. Elle a rendu 48 décisions formelles de violation depuis le début de l'application totale en septembre 2024.

Comment l'article 29 de la PDPL s'applique-t-il aux services d'IA en nuage ?

Lorsqu'un prompt contient des données personnelles et est envoyé à un serveur d'inférence hors du Royaume, il s'agit d'un transfert transfrontalier soumis à l'article 29. Vous devez satisfaire le contrôle de sécurité nationale, démontrer une protection équivalente dans la juridiction destinataire (généralement via les SCCs de la SDAIA, faute de liste d'adéquation), et ne transférer que les données strictement nécessaires. Exécuter l'inférence localement évite tout cela.

AWS Riyad ou Azure Arabie saoudite me protègent-ils des risques PDPL ?

Partiellement. Héberger les données dans une région nuage saoudienne aide à la résidence physique des données, mais le fournisseur a toujours son siège aux États-Unis et est donc soumis au CLOUD Act américain, qui peut contraindre la production de données quel que soit le lieu de stockage. La question de l'adéquation de la juridiction d'origine du fournisseur reste également non résolue. L'IA locale sur site est le seul modèle qui supprime les deux problèmes.

Qu'est-ce que le CLOUD Act et pourquoi importe-t-il aux entreprises saoudiennes ?

Le CLOUD Act américain (18 U.S.C. § 2713) oblige les fournisseurs de nuage au siège américain à produire des données en réponse à une injonction valide du gouvernement américain, même lorsque les données se trouvent dans un centre de données étranger. Pour les entreprises saoudiennes, cela entre en conflit direct avec le cadre réglementaire de l'informatique en nuage, qui interdit aux fournisseurs de divulguer des données sauf si la loi saoudienne l'exige. Aucun accord bilatéral CLOUD Act américano-saoudien n'existe pour arbitrer le conflit.

Quelles sanctions la SDAIA peut-elle imposer ?

Des amendes administratives jusqu'à 5 000 000 SAR (~1,33 M USD), pouvant être doublées en cas de récidive. La divulgation intentionnelle de données personnelles sensibles dans le but de nuire ou pour un gain personnel entraîne des sanctions pénales — amendes jusqu'à 3 000 000 SAR et emprisonnement possible. Des avertissements sont disponibles comme sanction moindre.

La SAMA a-t-elle des exigences de localisation des données distinctes ?

Oui, et elles sont plus strictes que la PDPL générale. La SAMA exige des établissements financiers qu'ils conservent les systèmes bancaires de base, les données clients, les registres de transactions et les identifiants de paiement physiquement en Arabie saoudite, obtiennent une approbation préalable avant d'utiliser tout service en nuage et une approbation distincte pour tout nuage hors Royaume. La NCA applique des contrôles de cybersécurité parallèles. L'IA sur site est pleinement conforme par défaut.

Quelles catégories de données sensibles bénéficient d'un traitement plus strict sous la PDPL ?

Sept catégories : origine raciale ou ethnique ; convictions religieuses, intellectuelles ou politiques ; casier judiciaire ; données biométriques utilisées pour l'identification ; données génétiques ; données de santé ; et données indiquant une filiation inconnue. Les transferts transfrontaliers continus ou à grande échelle de ces catégories requièrent une évaluation des risques obligatoire au titre du règlement sur les transferts.

Exécuter l'IA localement élimine-t-il toutes les obligations PDPL ?

Non — cela élimine l'obligation de transfert transfrontalier (article 29), la plus difficile, mais vous avez toujours besoin d'une base légale pour le traitement, devez respecter les droits des personnes concernées (accès, rectification, suppression), mettre en œuvre des garanties techniques et organisationnelles et tenir des journaux d'audit. Le déploiement local facilite le respect de ces obligations restantes car tout reste sous votre contrôle.

Qu'est-ce que le projet de Global AI Hub Law saoudien ?

Il s'agit d'un projet de loi de 2025 qui met l'accent sur une infrastructure d'IA souveraine et des cadres de centres de données conçus pour conserver les données et le traitement d'IA dans le Royaume tout en attirant les investissements étrangers. Conjugué à la déclaration par le Conseil des ministres de 2026 comme Année de l'intelligence artificielle, il signale une orientation nationale claire vers une capacité d'IA dans le Royaume, que le déploiement local soutient directement.

Sources

  • SDAIA — Personal Data Protection Law (officiel) — sdaia.gov.sa
  • ICLG — Data Protection Laws and Regulations: Saudi Arabia 2025–2026 — iclg.com
  • A&O Shearman — Enforcement of the Saudi PDPL — aoshearman.com
  • Clyde & Co — Enforcement of the Saudi PDP Law is live (March 2026) — clydeco.com
  • King & Spalding — International Personal Data Transfers under the Saudi PDPL — kslaw.com
  • Chambers & Partners — Data Protection & Privacy 2026: Saudi Arabia — chambers.com
  • ITIF — Saudi Arabia Cross-Border Data Transfer Regulation (June 2025) — itif.org
  • Kiteworks — SAMA Cloud Computing & Data Residency Compliance — kiteworks.com
  • US Congress — CLOUD Act overview (18 U.S.C. § 2713) — congress.gov
  • Simmons & Simmons — Cloud Computing Regulatory Framework (CCRF) in Saudi Arabia — simmons-simmons.com

Note sur les faits tiers

Cet article fait référence à des modèles d’IA, des benchmarks, des prix et des licences de tiers. Le paysage de l’IA évolue rapidement. Les scores de benchmark, les conditions de licence, les noms de modèles et les prix des API peuvent changer entre le moment de la rédaction et le moment où vous lisez ceci. Avant de prendre des décisions de déploiement ou de conformité basées sur cet article, vérifiez les chiffres actuels auprès de la source officielle de chaque fournisseur : fiches de modèles Hugging Face pour les licences et benchmarks, sites web des fournisseurs pour les prix API, et EUR-Lex pour les textes RGPD et AI Act actuels. Cet article reflète les informations publiques disponibles en mai 2026.

Utilisez PromptQuorum avec un LLM local, vos propres clés API, ou les deux — vous choisissez le backend.

Rejoindre la liste d'attente PromptQuorum →

← Retour aux LLMs locaux

PDPL saoudienne et souveraineté des données : IA locale 2026