Loi 25-11 : DPO, notification des violations et AIPD pour les entreprises algériennes

De la Loi 18-07 à la Loi 25-11 : ce qui a changé

La loi initiale sur la protection des données en Algérie — la Loi 18-07 du 10 juin 2018 — a créé l’Autorité Nationale de Protection des Données à caractère Personnel (ANPDP) et défini les principes de base du traitement des données. Mais elle ne prévoyait ni obligation de notification des violations, ni désignation obligatoire de délégués à la protection des données, ni évaluation des risques avant le lancement de traitements à haut risque.

Le 24 juillet 2025, le Parlement algérien a promulgué la Loi n° 25-11, modifiant et complétant la Loi 18-07. Cette mise à jour introduit cinq obligations majeures qui rapprochent considérablement le cadre algérien du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, tout en ajoutant une dimension pénale absente de la plupart des transpositions du RGPD.

Délégués à la protection des données obligatoires

La Loi 25-11 exige des organisations qui traitent des données personnelles à grande échelle ou qui manipulent des catégories sensibles de désigner un délégué à la protection des données (DPO). Le DPO doit posséder des qualifications professionnelles et une expertise reconnue en droit et pratiques de la protection des données. Ses responsabilités incluent le conseil au responsable du traitement sur la conformité, le suivi des politiques internes, le rôle d’interlocuteur auprès de l’ANPDP, la gestion des analyses d’impact et le traitement des demandes des personnes concernées en matière d’accès, de rectification et de suppression.

La loi protège l’indépendance du DPO : il ne peut recevoir d’instructions sur la manière d’exercer ses fonctions et ne peut être sanctionné pour l’exercice de ses missions. Pour l’Algérie, où très peu d’organisations disposaient de fonctions formelles de protection de la vie privée, cela crée à la fois un défi urgent de conformité et une opportunité de carrière significative dans la banque, les télécommunications, la santé, le commerce électronique et les administrations publiques.

Notification des violations sous cinq jours

L’Article 45 bis 8 de la Loi 25-11 introduit l’obligation opérationnelle la plus exigeante : les responsables du traitement doivent notifier l’ANPDP dans un délai de cinq jours après avoir pris connaissance d’une violation de données personnelles susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises pour y remédier.

Si le responsable du traitement ne peut fournir toutes les informations requises immédiatement, une notification progressive est autorisée. Les sous-traitants doivent informer leurs responsables du traitement de toute violation dès qu’ils en ont connaissance. Lorsqu’une violation présente un risque élevé pour les personnes concernées, une notification directe à ces personnes est également requise.

Les implications pratiques sont considérables. Les organisations ont besoin de capacités de détection des incidents, de procédures de réponse documentées, de modèles de notification préparés pour l’ANPDP et de systèmes d’enregistrement des violations — même pour les incidents en deçà du seuil de notification.

Analyses d’impact sur la protection des données

En vertu de l’Article 45 bis 6, les organisations doivent réaliser des analyses d’impact sur la protection des données (AIPD) avant d’entreprendre des traitements susceptibles d’entraîner des risques élevés pour les droits et libertés des personnes physiques. Les traitements à haut risque incluent généralement le traitement à grande échelle de données sensibles (dossiers médicaux, données biométriques), la surveillance systématique, la prise de décision automatisée comme le scoring de crédit, et les déploiements de nouvelles technologies impliquant des données personnelles.

Une AIPD doit évaluer la nécessité et la proportionnalité du traitement, apprécier les risques pour les personnes concernées et identifier les mesures d’atténuation. Si les risques résiduels demeurent élevés après atténuation, l’organisation doit consulter l’ANPDP avant de poursuivre.

Données biométriques et définitions élargies

La Loi 25-11 introduit des définitions explicites pour les données biométriques, le profilage, la pseudonymisation et les violations de données — des termes absents de la Loi 18-07 d’origine. La définition des données biométriques couvre les données résultant de traitements techniques spécifiques de caractéristiques physiques, physiologiques ou comportementales permettant l’identification unique d’une personne.

Cela concerne directement l’Algérie. Le pays déploie déjà la technologie biométrique de manière extensive : cartes nationales d’identité biométriques (CNIB) avec empreintes digitales et photographies faciales, passeports biométriques, inscription biométrique des électeurs et authentification par empreinte digitale émergente dans le secteur bancaire. En classifiant les données biométriques comme sensibles et en exigeant des AIPD pour leur traitement, la Loi 25-11 garantit que les protections juridiques correspondent à la réalité technologique.

Registres de traitement et responsabilisation

Les responsables du traitement et les sous-traitants doivent désormais tenir des registres détaillés de toutes leurs activités de traitement, incluant les finalités, les catégories de données, les destinataires, les transferts transfrontaliers, les durées de conservation et les mesures de sécurité. Ces registres doivent être mis à la disposition de l’ANPDP sur demande, créant un mécanisme de responsabilisation fondé sur la documentation qui va au-delà de la simple conformité juridique.

Des sanctions à dimension pénale

La Loi 25-11 établit des sanctions combinant conséquences financières et pénales. Les amendes vont de 20 000 DZD (~150 $) à 1 000 000 DZD (~7 500 $) selon la nature et la gravité de la violation. Les peines pénales atteignent deux mois à cinq ans d’emprisonnement pour les infractions les plus graves, notamment le traitement illicite de données sensibles et l’obstruction aux activités de contrôle de l’ANPDP.

Si les sanctions financières restent modestes par rapport aux 4 % du chiffre d’affaires annuel mondial prévus par le RGPD, la dimension pénale distingue l’Algérie. Dans le contexte régional, la Loi 09-08 du Maroc prévoit des amendes allant jusqu’à 300 000 MAD (~30 000 $) avec un emprisonnement pouvant atteindre deux ans pour la plupart des infractions, tandis que la Loi organique n° 2004-63 de la Tunisie prévoit des peines allant jusqu’à cinq ans pour les infractions les plus graves. La combinaison de sanctions financières et pénales de l’Algérie crée un dispositif dissuasif à plusieurs niveaux.

Comment la Loi 25-11 s’inscrit dans l’architecture réglementaire algérienne

La Loi 25-11 ne se situe pas isolément. Elle s’inscrit dans une convergence réglementaire aux côtés de deux autres évolutions de 2025 : le projet de loi sur les services de confiance (approuvé par le Conseil des ministres le 2 novembre 2025, couvrant l’identification numérique et les signatures électroniques) et l’Instruction 06-2025 de la Banque d’Algérie (publiée le 17 août 2025, établissant le cadre d’agrément des prestataires de services de paiement). Ces trois cadres sont interconnectés — la réglementation PSP exige la protection des données clients que la Loi 25-11 définit, tandis que le cadre des services de confiance gère les données d’identité numérique soumises aux protections de la Loi 25-11.

Ce que les organisations doivent faire maintenant

Immédiat (0-6 mois) : Désigner ou identifier un candidat au poste de DPO. Réaliser un exercice de cartographie des données pour comprendre quelles données personnelles votre organisation détient. Établir une procédure documentée de réponse aux incidents capable de respecter le délai de notification de cinq jours. Commencer à créer les registres de traitement.

Moyen terme (6-18 mois) : Réaliser des AIPD pour les traitements à haut risque, en priorisant les données biométriques, les dossiers médicaux, la prise de décision automatisée et les systèmes de surveillance. Mettre en place des mesures de sécurité techniques incluant le chiffrement et les contrôles d’accès. Former l’ensemble des employés qui manipulent des données personnelles. Réviser et mettre à jour les contrats avec les sous-traitants.

La loi ne prévoit aucune période transitoire explicite. Bien que l’ANPDP puisse initialement privilégier l’accompagnement plutôt que l’application coercitive, les organisations qui retardent leur mise en conformité assument un risque juridique dès la date d’entrée en vigueur.

Sources et lectures complémentaires

• Algeria Data Protection Law 18-07 and Amendments — CookieYes
• Algeria Data Protection Law 18-07 and Amendments — Cookie-Script
• Data Protection and Cybersecurity Laws in Algeria — CMS Law Expert Guide
• Algeria: Law Modifying Data Protection Law Published — DataGuidance
• Algeria Fact Sheet — Data Protection Africa
• Algeria Amendment on Personal Data Protection Law — TUV Rheinland