ثلاثة قوانين، رزمة امتثال واحدة
نظام البيانات في الجزائر في 2026 مبني من ثلاث أدوات تكميلية. فهم كيفية تكدسها هو الشرط المسبق لأي خطة امتثال جدية.
القانون 18-07 المؤرخ في 10 يونيو 2018 يبقى الأساس. يحكم حماية الأشخاص الطبيعيين في معالجة البيانات الشخصية، وينطبق على أي كيان عام أو خاص (جزائري أو أجنبي) يجمع أو يعالج البيانات الشخصية باستخدام وسائل موجودة في الجزائر، ويُؤسّس السلطة الوطنية لحماية البيانات الشخصية (ANPDP) كهيئة إنفاذ. عدم الامتثال يُعاقب بغرامات من 20,000 إلى 1,000,000 دج والسجن من شهرين إلى خمس سنوات.
القانون 25-11 ليوليو 2025 عصرن إطار 2018. يدخل تعريفات جديدة، ويتطلب تعيين مسؤول حماية البيانات (DPO)، ويفرض سجلات مفصلة لأنشطة المعالجة، ويضيف تقييمات تأثير حماية البيانات (DPIAs) للمعالجة عالية المخاطر. كما يشدد إخطار الانتهاك إلى خمسة أيام.
المرسوم الرئاسي 25-320 المؤرخ في 30 ديسمبر 2025 هو الأداة الأحدث والأكثر هيكلية. يُؤسّس إطاراً وطنياً لحوكمة البيانات يحدد تصنيف البيانات وفهرستها والتشغيل البيني الآمن بين الإدارات العامة — في توافق صريح مع الأمن السيبراني وحماية البيانات الشخصية. إنه دليل القواعد الذي يخبر المؤسسات بكيفية هيكلة البيانات التي تحملها وتسميتها ومشاركتها وتأمينها.
تغير هذه الأدوات الثلاث معاً الواقع التشغيلي للرعاية الصحية والقطاع المصرفي — القطاعين الأكثر معالجة مكثفة للبيانات الشخصية والمالية الحساسة في الجزائر.
الرعاية الصحية: المحيط الأكثر حساسية
تُصنَّف بيانات الصحة كفئة بيانات حساسة بموجب القانون 18-07 (وأكدها القانون 25-11). يشمل ذلك المعلومات التي تكشف عن الحالة الصحية والبيانات الجينية وأي سجلات طبية محتفظ بها بشكل إلكتروني أو ورقي. عملياً، فإن النظام البيئي للرعاية الصحية الجزائري — وزارة الصحة، وCNAS، وCASNOS، والمستشفيات الجامعية العمومية، والعيادات الخاصة، والمختبرات الطبية، والمجموعة المتنامية من الشركات الناشئة في health-tech — يخضع الآن لمجموعة التزامات متعددة الطبقات.
الالتزامات الرئيسية المطبقة أو التي ستطبق في 2026:
- الموافقة الصريحة قبل المعالجة، إلا تحت إعفاءات محددة (المصلحة العامة، الطوارئ الطبية، أو قواعد قانونية محددة).
- الإعلان أو التصريح المسبق لأنشطة المعالجة لدى ANPDP. تتطلب البيانات الحساسة، بما فيها بيانات الصحة، عادة تصريحاً مسبقاً، وليس مجرد إخطار.
- تعيين مسؤول حماية البيانات لأي مؤسسة ذات حجم معالجة كبير — ما يغطي عملياً جميع المستشفيات العمومية والعيادات الخاصة الكبيرة وصناديق التأمين الصحي.
- تقييمات تأثير حماية البيانات للمعالجة عالية المخاطر — على سبيل المثال، عمليات نشر السجلات الإلكترونية للصحة الجديدة، وقواعد بيانات الصحة على مستوى السكان، ومنصات التطبيب عن بُعد، أو أدوات التشخيص المساعدة بـ AI.
- سجلات أنشطة المعالجة، تغطي الغرض وفئات البيانات والمستلمين والتحويلات وفترات الاحتفاظ.
- إخطار الانتهاك إلى ANPDP خلال خمسة أيام من الاكتشاف.
- تصنيف البيانات وفهرستها وفقاً للمرسوم 25-320، خاصة عندما تُشارَك البيانات عبر الإدارات العامة (على سبيل المثال بين وزارة الصحة وCNAS).
لا تزال أجزاء التطبيب عن بُعد والسجلات الإلكترونية للصحة (EHR) التنظيمية قيد الصياغة. أشارت السلطات الجزائرية علناً إلى أن إطاراً قانونياً مخصصاً لاعتماد EHR وخصوصية بيانات المرضى قيد التطوير. حتى يصدر، يجب على متحكمي بيانات الصحة الافتراض على القراءة الصارمة للقانون 25-11 والمرسوم 25-320.
إعلان
القطاع المصرفي: بيانات المعاملات وKYC والتدفقات عبر الحدود
تعالج البنوك وfintechs الجزائرية ثلاث فئات متميزة من البيانات المنظمة، لكل منها آثاراتها الخاصة على الامتثال:
- البيانات الشخصية للعملاء — الأسماء، أرقام الهوية الوطنية (NIN)، العناوين، البيانات العائلية، بيانات التوظيف — يحكمها القانونان 18-07 و25-11 وإطار ANPDP بشكل كامل.
- بيانات المعاملات — معاملات البطاقات والتحويلات وتاريخ القروض — التي تخضع في الوقت نفسه لقواعد السرية المصرفية التي تشرف عليها Bank of Algeria، وقانون حماية البيانات للمكوّنات الشخصية، والتزامات الأمن السيبراني/التدقيق بموجب المرسوم الرئاسي 25-321 المؤرخ في 30 ديسمبر 2025.
- بيانات KYC وAML — سجلات اعرف عميلك، وبيانات المالك المستفيد، وسجلات المعاملات المشبوهة — تنظمها CTRF (خلية معالجة الاستعلام المالي) وBank of Algeria.
أثر المرسوم 25-320 على البنوك مزدوج. أولاً، يعزز تصنيف البيانات كانضباط داخلي — يجب على البنوك معرفة البيانات التي تحتفظ بها ومستوى حساسيتها وأساسها القانوني للمعالجة. ثانياً، يضع الإطار لكيفية تبادل البنوك للبيانات مع الدولة (سلطات الضرائب، CNAS، المحاكم، CTRF) بطريقة آمنة ومفهرسة.
تظل تحويلات البيانات عبر الحدود حساسة بشكل خاص. يتطلب أي تحويل للبيانات الشخصية خارج الجزائر تصريحاً من ANPDP والامتثال لشروط ملاءمة أو ضمانات محددة — قيد تشغيلي كبير على البنوك ذات الآباء الأجانب (SGA، HSBC Algeria، Gulf Bank Algeria، Natixis Algérie) التي تشغل أنظمة IT جماعية مركزية في الخارج.
كيف تبدو خارطة طريق الامتثال
بالنسبة لمدير معلومات أو DPO أو مسؤول امتثال في مستشفى أو عيادة أو بنك أو fintech جزائرية، تتضمن خارطة طريق امتثال 2026 ست خطوات ملموسة:
- عيّن DPO كتابياً. يجعل القانون 25-11 هذا الالتزام صريحاً لمعظم الكيانات المنظمة. يجب أن يكون للدور إمكانية الوصول إلى القيادة وسلطة الطعن في قرارات المعالجة.
- ابنِ سجل أنشطة المعالجة. يجب توثيق كل نشاط معالجة بيانات — غرضه، فئات البيانات، المستلمون، فترة الاحتفاظ. هذا هو حجر الزاوية للأدلة في أي تفتيش لـ ANPDP.
- قم بإجراء DPIAs على المعالجة عالية المخاطر. أنظمة EHR الجديدة، التشخيصات المساعدة بـ AI، نماذج التسجيل الائتماني، التحليلات السلوكية — أي شيء يؤثر مادياً على حقوق الأشخاص المعنيين بالبيانات يتطلب تقييم تأثير موثقاً.
- نفّذ تصنيف البيانات وفقاً للمرسوم 25-320. أنشئ ما لا يقل عن ثلاثة مستويات (عام، داخلي، حساس) مع ضوابط تقنية متوافقة مع كل منها.
- راجع وحدّث آليات الموافقة. يجب رقمنة عمليات الموافقة الورقية في العيادات وشبكات الفروع الموروثة وجعلها قابلة للتتبع والتدقيق.
- وائم برامج التدقيق السيبراني وحوكمة البيانات. يجب تنفيذ تكليف التدقيق بموجب المرسوم الرئاسي 25-321 والتزامات حوكمة البيانات بموجب المرسوم 25-320 كبرنامج متكامل واحد — وليس كمسارَيْ امتثال متوازيين.
الفرصة المخفية في الالتزام
نادراً ما تثير المشاريع التي يقودها الامتثال حماس أي شخص — لكن في السياق الجزائري، فإن هذه الرزمة هي أيضاً وظيفة قسر للتحديث. ستظهر المستشفيات التي تبني أخيراً بنى EHR ملائمة، والبنوك التي تفهرس وترشد ممتلكاتها من البيانات، وfintechs التي تدمج الخصوصية بالتصميم منذ اليوم الأول، أكثر نضجاً تشغيلياً وأكثر توافقاً دولياً. الأرضية التنظيمية لـ 2026 هي أيضاً سقف تنافسي للمؤسسات التي تستثمر مبكراً.
بالنسبة للقادة الجزائريين، التأطير الصادق هو هذا: العمل التنظيمي قادم بغض النظر. السؤال هو ما إذا كان يجب التعامل معه كالتزام مستاء أم كسقالات للعقد القادم من الخدمات الرقمية الجديرة بالثقة.
الأسئلة الشائعة
ما العقوبات على انتهاك قانون حماية البيانات الشخصية الجزائري؟
يحدد القانون 18-07 غرامات من 20,000 إلى 1,000,000 دج والسجن من شهرين إلى خمس سنوات لعدم الامتثال. يشدد القانون 25-11 إخطار الانتهاك إلى خمسة أيام، ولدى ANPDP سلطة إشرافية على جميع المعالجين العامين والخاصين العاملين في الجزائر أو باستخدام وسائل موجودة في الجزائر.
هل تحتاج البنوك الجزائرية ذات الآباء الأجانب إلى تصريح ANPDP لمشاركة البيانات مع المقر الرئيسي؟
نعم. أي تحويل عبر الحدود للبيانات الشخصية يتطلب تصريح ANPDP والامتثال لشروط ملاءمة أو ضمانات محددة. يجب على البنوك ذات الآباء الأجانب (SGA، HSBC Algeria، Gulf Bank Algeria، Natixis Algérie) التي تشغل أنظمة IT جماعية مركزية في الخارج أن تكون لديها آليات تحويل رسمية بموجب القانونين 18-07 و25-11.
ما خطوات الامتثال الواجبة لمستشفى أو عيادة تعالج بيانات المرضى في 2026؟
عيّن DPO كتابياً، ابنِ سجل أنشطة المعالجة، قم بإجراء DPIAs للمعالجة عالية المخاطر (عمليات نشر EHR الجديدة، التشخيصات المساعدة بـ AI، منصات التطبيب عن بُعد)، نفّذ تصنيف البيانات وفقاً للمرسوم 25-320، رقمن الموافقة بحيث تكون قابلة للتتبع والتدقيق، وقم بتشغيل كتيبات إخطار الانتهاك التي يمكن أن تصل إلى ANPDP خلال خمسة أيام من الاكتشاف.
المصادر والقراءات الإضافية
- Data Protection and Cybersecurity Laws in Algeria — CMS Expert Guide
- Guide on Algeria Data Protection Law: 18-07 and its Amendments — CookieYes
- Data Protection Laws in Algeria — DLA Piper
- Algeria Law 18-07 Personal Data Protection: Compliance Requirements — Signzy
- IBA Healthcare and Life Sciences Law Committee Telemedicine Survey — Algeria
