Le 1er janvier 2026, le Dubai International Financial Centre a commencé à appliquer la Regulation 10 de sa loi sur la protection des données, la première règle contraignante du Golfe qui traite un système d'IA en tant que tel, et non plus seulement les données personnelles qu'il traite, comme objet de régulation. Toute entité enregistrée à la DIFC exploitant une « High Risk Processing Activity » via un système autonome ou semi-autonome doit désormais disposer d'une étude d'impact sur la protection des données documentée, nommer un Autonomous Systems Officer et produire, sur demande, des preuves algorithmiques des déclencheurs d'intervention humaine. Seize jours plus tôt, le 16 janvier 2026, l'autorité saoudienne des données a confirmé un fait presque aussi significatif : 48 décisions de sanction rendues contre des organisations pour violation de la loi sur la protection des données personnelles du Royaume, avec des amendes pouvant atteindre 5 millions de SAR par violation, doublées en cas de récidive.

Aucun de ces développements ne provient d'un texte unique de type « Middle East AI Act », car aucune loi de ce genre n'existe dans la région. Ce qui existe, en revanche, ce sont quatre juridictions avançant à des vitesses différentes sur des fondements juridiques différents : les Émirats arabes unis superposant des règles spécifiques à l'IA propres aux zones franches à une loi fédérale sur la vie privée toujours privée de ses règlements d'application après plus de quatre ans, l'Arabie saoudite appliquant fermement sa loi sur les données tout en maintenant son cadre relatif à l'IA largement volontaire, le Qatar faisant transiter la conformité IA par une loi sur les données de 2016 et des lignes directrices non contraignantes de la NCSA, et Israël ayant refondu l'intégralité de sa loi sur la vie privée en une seule fois et l'appliquant désormais activement.

Le 16 avril 2026, la SDAIA saoudienne a lancé la MENA AI Harmonisation Initiative avec les Émirats arabes unis, le Qatar et Oman, une tentative d'aligner le signalement des violations, les principes de déploiement éthique et les règles de flux de données transfrontaliers, sans fusionner les lois nationales en un texte unique. Pour une équipe conformité, cela signifie quatre régulateurs, quatre postures d'application et un projet de convergence émergent mais encore incomplet à suivre simultanément.

Quels régulateurs pilotent réellement la gouvernance de l'IA et des données au Moyen-Orient ?

Quatre organismes aux mandats distincts. Aux Émirats arabes unis, l'UAE Data Office fédéral administre le Federal Decree-Law No. 45 of 2021 sur le territoire continental, tandis que le DIFC Commissioner of Data Protection applique la Regulation 10 spécifiquement pour l'IA au sein de la zone franche DIFC, et l'Abu Dhabi Global Market gère un régime parallèle en vertu de ses propres Data Protection Regulations. En Arabie saoudite, la Saudi Data and Artificial Intelligence Authority applique à la fois la loi contraignante sur la protection des données personnelles via ses Committees for Reviewing Violations et publie l'AI Adoption Framework et les Generative AI Guidelines non contraignants, qui conditionnent de plus en plus l'accès aux marchés publics. Au Qatar, le Compliance and Data Protection Department de la National Cyber Security Agency applique la Personal Data Privacy Protection Law et a publié les lignes directrices sur la sécurité de l'IA de 2024, tandis que la Qatar Central Bank superpose des obligations contraignantes en matière d'IA aux établissements financiers agréés. En Israël, la Privacy Protection Authority applique la loi sur la protection de la vie privée récemment refondue et traite ses propres directives comme un droit de facto contraignant. Identifier lequel de ces quatre régulateurs régit réellement un déploiement IA donné est exactement le type de question, juridiction par juridiction, à laquelle la veille réglementaire d'Obsidian est conçue pour répondre avec des citations sourcées et datées, plutôt qu'avec une impression générale de « régulation de l'IA dans le Golfe ».

Les Émirats arabes unis disposent-ils réellement d'une loi contraignante sur l'IA ?

Pas de texte autonome, mais deux instruments contraignants touchent déjà l'IA indirectement. La PDPL fédérale, le Federal Decree-Law No. 45 of 2021, est entrée en vigueur le 2 janvier 2022 et s'applique de manière extraterritoriale à tout traitement de données personnelles de résidents émiratis, y compris les données que les systèmes d'IA utilisent pour l'entraînement, le profilage et les décisions automatisées. Ses règlements d'application devaient être publiés dans les six mois suivant la publication de la loi, soit vers mars 2022, et à la mi-2026 ils n'avaient toujours pas été publiés, laissant les montants des sanctions, cités par les commentateurs juridiques dans une fourchette allant de 50 000 AED à 5 millions d'AED par violation, sans barème statutaire définitif.

Au sein de la zone franche DIFC, cette lacune n'existe pas. La Regulation 10 de la DIFC Data Protection Law, en vigueur depuis 2023 et activement appliquée depuis le 1er janvier 2026, impose à tout Controller ou Processor déployant un système autonome ou semi-autonome de réaliser une étude d'impact sur la protection des données avant le déploiement, de tenir un registre des activités de traitement liées à l'IA et, pour les High Risk Processing, de nommer un Autonomous Systems Officer et de détenir des preuves des algorithmes déclenchant une intervention humaine. Une entreprise exploitant le même outil de notation de crédit piloté par IA via une entité DIFC et une entité émiratie continentale se retrouve soumise, d'un côté, à l'obligation documentée de DPIA et de désignation d'un officer prévue par la Regulation 10, et de l'autre, aux obligations générales de la PDPL fédérale dont les règlements d'application restent en attente.

L'application de la PDPL saoudienne est-elle réelle ou encore largement théorique ?

Réelle, et en accélération. La PDPL, promulguée par le Royal Decree No. M/19 of 2021 et modifiée en mars 2023, est entrée pleinement en vigueur le 14 septembre 2023, avec une période de grâce d'un an ayant expiré le 14 septembre 2024. La SDAIA a confirmé le 16 janvier 2026 que ses Committees for Reviewing Violations avaient rendu 48 décisions de sanction au cours de l'année précédente, citant comme types de violations récurrents la collecte ou le traitement illicites sans base légale valable, la divulgation non autorisée, des mesures de sécurité techniques insuffisantes et le marketing sans consentement. Les amendes administratives atteignent 5 millions de SAR par violation, doublées à 10 millions de SAR en cas de récidive, et la divulgation intentionnelle de données personnelles sensibles entraîne des sanctions pénales distinctes pouvant aller jusqu'à deux ans d'emprisonnement et une amende de 3 millions de SAR. Les organisations notifiées d'une violation disposent parfois d'aussi peu que cinq jours pour répondre.

La gouvernance de l'IA elle-même relève encore d'un droit plus souple. L'AI Adoption Framework de la SDAIA et ses Generative AI Guidelines de 2024 ne sont pas juridiquement contraignants pour la majorité des usages du secteur privé, mais l'accréditation SDAIA au regard de ce cadre devient de plus en plus une condition préalable pour remporter des marchés publics, et l'Arabie saoudite a désigné 2026 comme son « Year of Artificial Intelligence », un signal que la couche volontaire est celle la plus susceptible de se durcir prochainement.

Comparaison des régimes de gouvernance de l'IA et des données au Moyen-Orient, mi-2026

JuridictionLoi contraignante sur les donnéesRègle contraignante spécifique à l'IAPosture d'application en 2026
Émirats arabes unis (fédéral)PDPL, Decree-Law 45/2021, en vigueur depuis 2022, règlements d'application toujours en attenteAucune au niveau fédéralOrientations et actions ponctuelles de l'UAE Data Office
Émirats arabes unis (DIFC)DIFC Data Protection LawRegulation 10, appliquée depuis le 1er janvier 2026Active, obligations de DPIA et de désignation d'officer contrôlées
Arabie saouditePDPL, pleinement applicable depuis septembre 2024Aucune contraignante ; AI Adoption Framework volontaireActive, 48 décisions confirmées au 16 janvier 2026
QatarPDPPL, Law No. 13 of 2016Aucune contraignante au niveau central ; règles de la QCB contraignantes uniquement pour les banquesPilotée par des lignes directrices hors secteur financier
IsraëlPrivacy Protection Law, Amendment 13 depuis août 2025Aucune dédiée ; couverte par les obligations générales de protection de la vie privéeActive depuis janvier 2026, application des obligations de DPO effective

Que doit réellement respecter un système d'IA qui traite des données personnelles au Qatar ?

D'abord la loi sur les données de 2016, puis les lignes directrices spécifiques à l'IA. La Personal Data Privacy Protection Law, le texte qatari original de 2016 et la première loi complète sur la protection des données du CCG, reste le socle contraignant, appliqué par la National Cyber Governance and Assurance Affairs, division de la National Cyber Security Agency. Les Guidelines for Secure Adoption and Usage of Artificial Intelligence de la NCSA, publiées en février 2024, sont volontaires mais traitent spécifiquement, pour les systèmes d'IA, de la minimisation des données, de la limitation des finalités, des contrôles de biais et de l'auditabilité, et l'agence a averti que les ignorer peut néanmoins créer une exposition au titre de la PDPPL contraignante. Le seul domaine où la conformité IA est déjà obligatoire, et non simplement consultative, est celui des services financiers, où la ligne directrice sur l'IA de la Qatar Central Bank impose des obligations contraignantes de transparence, de consentement et de traitement des données aux établissements agréés, tandis que la Qatar Financial Markets Authority a diffusé en mai 2025 un projet de réglementation IA qui étendrait encore la portée contraignante. Les entités enregistrées auprès du Qatar Financial Centre répondent, elles, à un troisième régime, les QFC Data Protection Regulations de 2021, qui se superpose à la PDPPL ou aux lignes directrices de la NCSA également applicables.

Pourquoi l'application du droit à la vie privée en Israël s'est-elle soudainement durcie en 2026 ?

Parce qu'une loi vieille de quatre décennies a été entièrement réécrite en une seule fois, et que ses périodes de grâce sont désormais arrivées à leur terme. L'Amendment 13 à la Privacy Protection Law, 1981, est entré en vigueur le 14 août 2025, introduisant la désignation obligatoire d'un Data Protection Officer pour les organisations concernées, une définition élargie des données sensibles couvrant les informations traitées par l'IA, et des sanctions administratives pécuniaires que la Privacy Protection Authority peut désormais imposer sans procédure judiciaire préalable. La PPA a accordé une période de grâce temporaire, spécifiquement sur l'obligation de DPO, qui a expiré le 31 octobre 2025, et elle indique elle-même être passée d'une posture d'orientation à une application proactive, incluant audits, enquêtes et signalements pénaux, depuis janvier 2026. Les sanctions peuvent atteindre plusieurs millions de shekels avec des multiplicateurs en cas de traitement à grande échelle ou portant sur des données sensibles, et les particuliers peuvent réclamer des dommages-intérêts statutaires allant jusqu'à 100 000 ILS sans avoir à prouver un préjudice réel, un seuil plus bas que la plupart des autres régimes de protection de la vie privée de la région.

Que doit faire ensuite une équipe en charge de la gouvernance de l'IA et des données au Moyen-Orient ?

Distinguer les entités soumises à une application stricte de celles encore régies par de simples orientations. Une entité DIFC exploitant de l'IA sur des données personnelles se trouve déjà dans un régime activement appliqué, avec une obligation documentée de DPIA ; une entité saoudienne hors secteur financier fait face aujourd'hui à une application ferme de la PDPL mais seulement à des lignes directrices IA volontaires, pour le moment ; une entité qatarie hors secteur bancaire dispose encore d'une réelle marge de manœuvre sur les règles spécifiques à l'IA, même si sa loi sur les données sous-jacente est pleinement contraignante ; et toute opération israélienne doit résoudre sa question de DPO immédiatement, et non sur une feuille de route future.

Rien de tout cela n'impose d'attendre que la MENA AI Harmonisation Initiative achève d'aligner quatre systèmes juridiques qui n'ont jamais eu vocation à fusionner en un seul. Obsidian suit l'UAE Data Office, le DIFC Commissioner, la SDAIA, la NCSA, la QFMA et la PPA israélienne comme des sources distinctes, de niveau tier-0, au niveau de la juridiction et du cadre réglementaire, afin qu'une échéance de certification liée à la Regulation 10 ou qu'une nouvelle décision de sanction de la SDAIA parvienne au bon responsable conformité dans la semaine de sa publication. Le compagnon IA répond à des questions transjuridictionnelles telles que « notre entité DIFC a-t-elle besoin d'un Autonomous Systems Officer pour cet outil précis » avec une citation sourcée plutôt qu'une impression générale, et les équipes qui exploitent déjà leurs propres assistants IA peuvent connecter les mêmes données vérifiées via le MCP d'Obsidian. Découvrez comment une couverture complète de la gouvernance de l'IA, des données et du numérique fonctionne sur la page des offres, conçue précisément pour ce type d'exposition multi-régulateurs.