من القانون 18-07 إلى القانون 25-11: ما الذي تغيّر
أنشأ قانون حماية البيانات الأصلي في الجزائر — القانون 18-07 المؤرخ في 10 يونيو 2018 — السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP) وحدد المبادئ الأساسية لمعالجة البيانات. لكنه كان يفتقر إلى متطلبات الإبلاغ عن الانتهاكات، وتعيين مسؤولي حماية البيانات إلزاميًا، وأي التزام بتقييم مخاطر الخصوصية قبل إطلاق أنشطة المعالجة عالية المخاطر.
في 24 يوليو 2025، أصدر البرلمان الجزائري القانون رقم 25-11، المعدل والمتمم للقانون 18-07. يُدخل هذا التحديث خمسة التزامات رئيسية تُقرّب الإطار الجزائري بشكل كبير من النظام العام لحماية البيانات (GDPR) في الاتحاد الأوروبي، مع إضافة بُعد جزائي تفتقر إليه معظم تطبيقات GDPR.
مسؤولو حماية البيانات الإلزاميون
يُلزم القانون 25-11 المؤسسات التي تعالج البيانات الشخصية على نطاق واسع أو تتعامل مع فئات حساسة بتعيين مسؤول حماية البيانات (DPO). يجب أن يمتلك مسؤول حماية البيانات مؤهلات مهنية وخبرة معترفًا بها في قانون وممارسات حماية البيانات. تشمل مسؤولياته تقديم المشورة للمسؤول عن المعالجة بشأن الامتثال، ومراقبة السياسات الداخلية، والعمل كنقطة اتصال مع ANPDP، وإدارة تقييمات أثر حماية البيانات، ومعالجة طلبات الأشخاص المعنيين المتعلقة بالوصول والتصحيح والحذف.
يحمي القانون استقلالية مسؤول حماية البيانات: لا يمكن توجيهه حول كيفية أداء مهامه ولا يمكن معاقبته على ممارسة واجباته. بالنسبة للجزائر، حيث تفتقر معظم المؤسسات إلى وظائف رسمية لحماية الخصوصية، يخلق هذا تحديًا عاجلًا للامتثال وفرصة مهنية كبيرة في القطاع المصرفي والاتصالات والصحة والتجارة الإلكترونية والإدارات الحكومية.
الإبلاغ عن الانتهاكات خلال خمسة أيام
تُدخل المادة 45 مكرر 8 من القانون 25-11 الالتزام التشغيلي الأكثر صرامة: يجب على المسؤولين عن المعالجة إبلاغ ANPDP خلال خمسة أيام من علمهم بانتهاك بيانات شخصية يُحتمل أن يُشكّل خطرًا على حقوق الأشخاص الطبيعيين وحرياتهم. يجب أن يصف الإبلاغ طبيعة الانتهاك، وفئات الأشخاص المتضررين وعددهم التقريبي، والعواقب المحتملة، والتدابير المتخذة لمعالجته.
إذا لم يتمكن المسؤول عن المعالجة من تقديم جميع المعلومات المطلوبة فورًا، يُسمح بالإبلاغ التدريجي. يجب على المعالجين من الباطن إبلاغ مسؤولي المعالجة بأي انتهاك فور علمهم به. عندما يُشكّل الانتهاك خطرًا عاليًا على الأشخاص المتضررين، يُطلب أيضًا إبلاغهم مباشرة.
التداعيات العملية جوهرية. تحتاج المؤسسات إلى قدرات كشف الحوادث، وإجراءات استجابة موثقة، ونماذج إبلاغ معدة مسبقًا لـ ANPDP، وأنظمة تسجيل الانتهاكات — حتى بالنسبة للحوادث التي لا تبلغ عتبة الإبلاغ.
تقييمات أثر حماية البيانات
بموجب المادة 45 مكرر 6، يجب على المؤسسات إجراء تقييمات أثر حماية البيانات (AIPD) قبل الشروع في معالجات يُحتمل أن تُسبب مخاطر عالية على حقوق الأشخاص الطبيعيين وحرياتهم. تشمل المعالجات عالية المخاطر عادةً المعالجة واسعة النطاق للبيانات الحساسة (السجلات الطبية، البيانات البيومترية)، والمراقبة المنهجية، واتخاذ القرارات الآلية مثل التصنيف الائتماني، ونشر التقنيات الجديدة التي تتضمن بيانات شخصية.
يجب أن يُقيّم تقييم الأثر ضرورة المعالجة وتناسبها، ويُقدّر المخاطر على الأشخاص المعنيين، ويحدد تدابير التخفيف. إذا بقيت المخاطر المتبقية مرتفعة بعد التخفيف، يجب على المؤسسة استشارة ANPDP قبل المتابعة.
إعلان
البيانات البيومترية والتعريفات الموسّعة
يُدخل القانون 25-11 تعريفات صريحة للبيانات البيومترية والتنميط والتسمية المستعارة وانتهاكات البيانات — وهي مصطلحات كانت غائبة عن القانون 18-07 الأصلي. يشمل تعريف البيانات البيومترية البيانات الناتجة عن المعالجة التقنية المحددة للخصائص الجسدية أو الفسيولوجية أو السلوكية التي تسمح بالتعرف الفريد على شخص طبيعي.
يتعلق هذا مباشرة بالجزائر. يستخدم البلد بالفعل التقنية البيومترية على نطاق واسع: بطاقات الهوية الوطنية البيومترية (CNIB) مع البصمات والصور الفوتوغرافية للوجه، وجوازات السفر البيومترية، والتسجيل البيومتري للناخبين، والمصادقة الناشئة بالبصمات في القطاع المصرفي. بتصنيف البيانات البيومترية كبيانات حساسة واشتراط تقييمات الأثر لمعالجتها، يضمن القانون 25-11 مطابقة الحماية القانونية للواقع التقني.
سجلات المعالجة والمساءلة
يجب على المسؤولين عن المعالجة والمعالجين من الباطن الآن الاحتفاظ بسجلات مفصلة لجميع أنشطة المعالجة، تشمل الأغراض وفئات البيانات والمتلقين والتحويلات عبر الحدود وفترات الاحتفاظ والتدابير الأمنية. يجب إتاحة هذه السجلات لـ ANPDP عند الطلب، مما يُنشئ آلية مساءلة قائمة على التوثيق تتجاوز مجرد الامتثال القانوني البسيط.
عقوبات ذات بُعد جزائي
يُرسي القانون 25-11 عقوبات تجمع بين العواقب المالية والجزائية. تتراوح الغرامات من 20,000 دج (~150 دولارًا) إلى 1,000,000 دج (~7,500 دولار) حسب طبيعة المخالفة وخطورتها. تصل العقوبات الجزائية إلى شهرين حتى خمس سنوات سجنًا بالنسبة للمخالفات الأشد خطورة، بما في ذلك المعالجة غير المشروعة للبيانات الحساسة وعرقلة أنشطة رقابة ANPDP.
بينما تبقى العقوبات المالية متواضعة مقارنة بنسبة 4% من رقم الأعمال السنوي العالمي المنصوص عليها في GDPR، فإن البُعد الجزائي يُميّز الجزائر. في السياق الإقليمي، ينص القانون 09-08 في المغرب على غرامات تصل إلى 300,000 درهم (~30,000 دولار) مع سجن يصل إلى سنتين لمعظم المخالفات، بينما يتضمن القانون الأساسي رقم 2004-63 في تونس عقوبات تصل إلى خمس سنوات للمخالفات الأشد خطورة. يُنشئ الجمع بين العقوبات المالية والجزائية في الجزائر رادعًا متعدد المستويات.
كيف يندرج القانون 25-11 في البنية التنظيمية الجزائرية
لا يقف القانون 25-11 بمعزل عن غيره. فهو يشكل جزءًا من تقارب تنظيمي إلى جانب تطورين آخرين في عام 2025: مشروع قانون خدمات الثقة (الذي وافق عليه مجلس الوزراء في 2 نوفمبر 2025، ويغطي التعريف الرقمي والتوقيعات الإلكترونية) والتعليمة 06-2025 لبنك الجزائر (المنشورة في 17 أغسطس 2025، والتي تُنشئ إطار الترخيص لمقدمي خدمات الدفع). هذه الأطر الثلاثة مترابطة — تشترط تنظيمات مقدمي خدمات الدفع حماية بيانات العملاء التي يحددها القانون 25-11، بينما يتعامل إطار خدمات الثقة مع بيانات الهوية الرقمية الخاضعة لحماية القانون 25-11.
ما يجب على المؤسسات فعله الآن
فوري (0-6 أشهر): تعيين أو تحديد مرشح لمنصب مسؤول حماية البيانات. إجراء عملية رسم خريطة البيانات لفهم البيانات الشخصية التي تحتفظ بها مؤسستك. وضع إجراء موثق للاستجابة للحوادث قادر على احترام نافذة الإبلاغ خلال خمسة أيام. البدء بإنشاء سجلات المعالجة.
متوسط المدى (6-18 شهرًا): إجراء تقييمات الأثر للمعالجات عالية المخاطر، مع إعطاء الأولوية للبيانات البيومترية والسجلات الطبية واتخاذ القرارات الآلية وأنظمة المراقبة. تطبيق تدابير أمنية تقنية تشمل التشفير وضوابط الوصول. تدريب جميع الموظفين الذين يتعاملون مع البيانات الشخصية. مراجعة وتحديث عقود المعالجين من الباطن.
لا يتضمن القانون أي فترة انتقالية صريحة. بينما قد تُعطي ANPDP الأولوية في البداية للتوجيه بدلاً من التطبيق القسري، فإن المؤسسات التي تؤخر امتثالها تتحمل مخاطر قانونية اعتبارًا من تاريخ دخول القانون حيز التنفيذ.
الأسئلة الشائعة
هل ينطبق القانون 25-11 على الشركات الأجنبية التي تعالج البيانات في الجزائر؟
نعم. ينطبق القانون على أي مسؤول عن المعالجة أو معالج من الباطن يتعامل مع البيانات الشخصية لأشخاص موجودين في الجزائر، بغض النظر عن مكان تأسيس المؤسسة. تخضع الشركات الأجنبية التي تقدم خدمات للمقيمين الجزائريين أو تراقب سلوكهم لالتزامات الامتثال، رغم أن آليات التنفيذ العابرة للحدود تبقى أقل تطورًا مقارنة بالكيانات المحلية.
ما المؤهلات التي يحتاجها مسؤول حماية البيانات بموجب القانون 25-11؟
يشترط القانون مؤهلات مهنية وخبرة معترفًا بها في قانون وممارسات حماية البيانات، لكنه لا يفرض شهادات محددة. عمليًا، يجب أن يُلمّ مسؤول حماية البيانات بالقانون الجزائري لحماية البيانات ومبادئ أمن المعلومات وأنشطة المعالجة الخاصة بمؤسسته. نظرًا لندرة المتخصصين في حماية البيانات في الجزائر، قد تحتاج المؤسسات إلى تدريب موظفيها القانونيين أو المكلفين بالامتثال الحاليين.
ماذا يحدث إذا لم تحترم المؤسسة مهلة الإبلاغ خلال خمسة أيام؟
يمكن أن يؤدي عدم إبلاغ ANPDP خلال خمسة أيام إلى عقوبات إدارية (تحذيرات، غرامات، حظر المعالجة) وعقوبات جزائية. في حالة الإبلاغ المتأخر، يشترط القانون تقديم أسباب التأخير (المادة 45 مكرر 8). يمكن للمؤسسات التي تفتقر إلى قدرات كشف الحوادث الادعاء بعدم علمها، لكن من غير المرجح أن يقبل المنظم هذا الدفاع إذا كانت المراقبة الأساسية غائبة.
المصادر والقراءات الإضافية
- Algeria Data Protection Law 18-07 and Amendments — CookieYes
- Algeria Data Protection Law 18-07 and Amendments — Cookie-Script
- Data Protection and Cybersecurity Laws in Algeria — CMS Law Expert Guide
- Algeria: Law Modifying Data Protection Law Published — DataGuidance
- Algeria Fact Sheet — Data Protection Africa
- Algeria Amendment on Personal Data Protection Law — TUV Rheinland
