Lois de gouvernance des données en Algérie 2026

Publié le avril 16, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Le décret présidentiel 25-320 du 30 décembre 2025 établit le cadre national algérien de classification, catalogage et interopérabilité sécurisée des données, superposé à la loi 25-11 (juillet 2025) et à la loi 18-07 (2018). La non-conformité expose à des amendes de 20 000 à 1 000 000 DZD et à un emprisonnement de deux mois à cinq ans sous le régime d’application de l’ANPDP.

En résumé : Intégrez l’audit cyber et la gouvernance des données en un seul programme de conformité plutôt que d’exécuter deux pistes parallèles.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

Le décret 25-320, la loi 25-11 et la loi 18-07 s’empilent désormais en un régime de conformité unique qui lie chaque hôpital, banque, fintech et startup health-tech algérien.

Calendrier d’action
Immédiat
▾

La nomination du DPO, les registres de traitement et la notification de violation (cinq jours) sont déjà applicables ; le travail de classification du décret 25-320 doit commencer cette année.

Parties prenantes clés
DPO, DSI, responsables conformité, directeurs d’hôpitaux, dirigeants bancaires, ANPDP, Bank of Algeria, CTRF

Type de décision
Stratégique
▾

L’architecture des données, les mécanismes de consentement et les modèles de transfert transfrontalier sont des choix structurels pluriannuels.

Niveau de priorité
Élevé
▾

Les amendes atteignent 1 000 000 DZD et un emprisonnement de deux mois à cinq ans pour les violations de données personnelles ; la surveillance de supervision augmente.

En bref : Nommez un DPO par écrit ce trimestre, commandez un registre des activités de traitement et des AIPD pour les systèmes à haut risque (DSE, scoring de crédit, télémédecine), et exécutez vos chantiers d’audit cyber et de gouvernance des données comme un programme intégré unique — pas comme deux pistes de conformité parallèles.

Trois lois, une pile de conformité

Le régime des données en Algérie en 2026 est construit à partir de trois instruments complémentaires. Comprendre comment ils s’empilent est le préalable à tout plan de conformité sérieux.

La loi 18-07 du 10 juin 2018 demeure la fondation. Elle régit la protection des personnes physiques dans le traitement des données personnelles, s’applique à toute entité publique ou privée (algérienne ou étrangère) qui collecte ou traite des données personnelles à l’aide de moyens situés en Algérie, et établit l’Autorité Nationale de Protection des Données Personnelles (ANPDP) comme organe d’application. La non-conformité est sanctionnée par des amendes de 20 000 à 1 000 000 DZD et un emprisonnement de deux mois à cinq ans.

La loi 25-11 de juillet 2025 a modernisé le cadre de 2018. Elle introduit de nouvelles définitions, requiert la nomination d’un Délégué à la Protection des Données (DPO), impose des registres détaillés des activités de traitement, et ajoute des Analyses d’Impact relatives à la Protection des Données (AIPD) pour les traitements à plus haut risque. Elle resserre également la notification de violation à cinq jours.

Le décret présidentiel 25-320 du 30 décembre 2025 est l’instrument le plus récent et le plus structurel. Il établit un cadre national de gouvernance des données définissant la classification des données, le catalogage et l’interopérabilité sécurisée entre les administrations publiques — en alignement explicite avec la cybersécurité et la protection des données personnelles. C’est le manuel qui dit aux institutions comment structurer, étiqueter, partager et sécuriser les données qu’elles détiennent.

Ensemble, ces trois instruments changent la réalité opérationnelle pour la santé et la banque — les deux secteurs traitant le plus intensivement les données personnelles et financières sensibles en Algérie.

Santé : le périmètre le plus sensible

Les données de santé sont classées comme catégorie de données sensibles sous la loi 18-07 (et confirmé par la loi 25-11). Cela inclut les informations révélant l’état de santé, les données génétiques et tout dossier médical détenu sous forme électronique ou papier. En pratique, l’écosystème de santé algérien — le Ministère de la Santé, la CNAS, la CASNOS, les CHU publics, les cliniques privées, les laboratoires médicaux et la cohorte croissante de startups health-tech — est désormais soumis à un ensemble d’obligations en couches.

Obligations clés qui s’appliquent ou s’appliqueront en 2026 :

Consentement explicite avant traitement, sauf sous des exemptions spécifiques (intérêt public, urgence médicale, ou bases légales spécifiques).
Déclaration ou autorisation préalable des activités de traitement auprès de l’ANPDP. Les données sensibles, y compris les données de santé, requièrent généralement une autorisation préalable, pas seulement une notification.
Nomination d’un Délégué à la Protection des Données pour toute institution à volume de traitement significatif — ce qui couvre en pratique tous les hôpitaux publics, les grandes cliniques privées et les caisses d’assurance maladie.
Analyses d’Impact relatives à la Protection des Données pour les traitements à haut risque — par exemple, nouveaux déploiements de dossiers de santé électroniques, bases de données de santé au niveau de la population, plateformes de télémédecine ou outils de diagnostic assistés par IA.
Registres des activités de traitement, couvrant la finalité, les catégories de données, les destinataires, les transferts et les durées de conservation.
Notification de violation à l’ANPDP dans les cinq jours suivant la découverte.
Classification et catalogage des données selon le décret 25-320, particulièrement lorsque les données sont partagées entre administrations publiques (par exemple entre le Ministère de la Santé et la CNAS).

Les pièces réglementaires de la télémédecine et des dossiers de santé électroniques (DSE) sont encore en cours de rédaction. Les autorités algériennes ont publiquement signalé qu’un cadre légal dédié à l’adoption des DSE et à la confidentialité des données patients est en développement. Jusqu’à son arrivée, les responsables de traitement de données de santé devraient se rabattre sur la lecture stricte de la loi 25-11 et du décret 25-320.

Banque : données de transaction, KYC et flux transfrontaliers

Les banques et fintechs algériennes traitent trois catégories distinctes de données réglementées, chacune avec ses propres implications de conformité :

Données personnelles des clients — noms, numéros d’identification nationale (NIN), adresses, données familiales, données d’emploi — régies pleinement par les lois 18-07 et 25-11 et le cadre ANPDP.
Données de transaction — transactions par carte, virements, historiques de prêts — qui sont simultanément régies par les règles de secret bancaire supervisées par la Bank of Algeria, le droit à la protection des données pour les composants personnels, et les obligations cybersécurité/audit sous le décret présidentiel 25-321 du 30 décembre 2025.
Données KYC et AML — dossiers know-your-customer, données de bénéficiaires effectifs, dossiers de transactions suspectes — régies par la CTRF (Cellule de Traitement du Renseignement Financier) et la Bank of Algeria.

L’effet du décret 25-320 sur les banques est double. Premièrement, il renforce la classification des données comme discipline interne — les banques doivent connaître les données qu’elles détiennent, leur niveau de sensibilité et leur base légale de traitement. Deuxièmement, il fixe le cadre de la manière dont les banques échangent des données avec l’État (autorités fiscales, CNAS, tribunaux, CTRF) de manière sécurisée et cataloguée.

Les transferts transfrontaliers de données restent particulièrement sensibles. Tout transfert de données personnelles hors d’Algérie nécessite une autorisation de l’ANPDP et le respect de conditions d’adéquation ou de garanties spécifiques — une contrainte opérationnelle significative pour les banques avec parents étrangers (SGA, HSBC Algeria, Gulf Bank Algeria, Natixis Algérie) exécutant des systèmes IT de groupe centralisés à l’étranger.

À quoi ressemble une feuille de route de conformité

Pour un DSI, DPO ou responsable conformité dans un hôpital, clinique, banque ou fintech algérien, la feuille de route de conformité 2026 comporte six étapes concrètes :

Nommer un DPO par écrit. La loi 25-11 rend cette obligation explicite pour la plupart des entités réglementées. Le rôle doit avoir accès à la direction et l’autorité de remettre en cause les décisions de traitement.
Construire un registre des activités de traitement. Chaque activité de traitement de données — sa finalité, ses catégories de données, ses destinataires, sa période de conservation — doit être documentée. C’est la pièce maîtresse de l’évidence dans toute inspection de l’ANPDP.
Mener des AIPD sur les traitements à haut risque. Nouveaux systèmes DSE, diagnostics assistés par IA, modèles de scoring de crédit, analytique comportementale — tout ce qui affecte matériellement les droits des personnes concernées requiert une analyse d’impact documentée.
Mettre en œuvre la classification des données selon le décret 25-320. Établir au moins trois niveaux (public, interne, sensible) avec des contrôles techniques alignés à chacun.
Réviser et mettre à jour les mécanismes de consentement. Les processus de consentement basés sur papier dans les cliniques et les réseaux d’agences hérités doivent être numérisés, traçables et auditables.
Aligner les programmes d’audit cyber et de gouvernance des données. Le mandat d’audit sous le décret présidentiel 25-321 et les obligations de gouvernance des données sous le décret 25-320 doivent être exécutés comme un programme intégré unique — pas comme deux pistes de conformité parallèles.

L’opportunité cachée dans l’obligation

Les projets pilotés par la conformité enthousiasment rarement quiconque — mais dans le contexte algérien, cette pile est aussi une fonction de forçage de modernisation. Les hôpitaux qui construisent enfin des architectures DSE adéquates, les banques qui catalogue et rationalisent leurs patrimoines de données, et les fintechs qui intègrent la confidentialité dès la conception émergeront plus matures opérationnellement et plus compatibles internationalement. Le socle réglementaire 2026 est aussi un plafond compétitif pour les institutions qui investissent en avance sur la courbe.

Pour les dirigeants algériens, le cadrage honnête est ceci : le travail réglementaire arrive de toute façon. La question est de savoir s’il faut le traiter comme une obligation contrariée ou comme l’échafaudage de la prochaine décennie de services numériques de confiance.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Quelles sont les sanctions pour violation de la loi algérienne sur la protection des données personnelles?

La loi 18-07 fixe des amendes de 20 000 à 1 000 000 DZD et un emprisonnement de deux mois à cinq ans pour non-conformité. La loi 25-11 resserre la notification de violation à cinq jours, et l’ANPDP a l’autorité de supervision sur tous les processeurs publics et privés opérant en Algérie ou utilisant des moyens situés en Algérie.

Les banques algériennes avec parents étrangers ont-elles besoin d’une autorisation de l’ANPDP pour partager des données avec leur siège?

Oui. Tout transfert transfrontalier de données personnelles nécessite une autorisation de l’ANPDP et le respect de conditions d’adéquation ou de garanties spécifiques. Les banques avec parents étrangers (SGA, HSBC Algeria, Gulf Bank Algeria, Natixis Algérie) exécutant des systèmes IT de groupe centralisés à l’étranger doivent avoir des mécanismes de transfert formels en place sous les lois 18-07 et 25-11.

Quelles sont les étapes de conformité incontournables pour un hôpital ou une clinique traitant des données patients en 2026?

Nommer un DPO par écrit, construire un registre des activités de traitement, mener des AIPD pour les traitements à haut risque (nouveaux déploiements DSE, diagnostics assistés par IA, plateformes de télémédecine), mettre en œuvre la classification des données selon le décret 25-320, numériser le consentement pour qu’il soit traçable et auditable, et exécuter des playbooks de notification de violation qui peuvent atteindre l’ANPDP dans les cinq jours suivant la découverte.