لماذا 2026 هي سنة تطبيق القواعد الجزائرية للبيانات
يوجد الإطار الجزائري لحماية البيانات على الورق منذ صدور القانون 18-07 في 10 يونيو 2018. ما تغيّر في 2023 هو التطبيق: دخل القانون حيز التنفيذ في 10 أغسطس 2023، وبدأت السلطة الوطنية لحماية البيانات الشخصية (ANPDP) في العمل كهيئة إدارية مستقلة. أضاف تعديل يوليو 2025 — القانون 25-11 — مسؤولي حماية البيانات (DPO)، وتقييمات الأثر على حماية البيانات (DPIA) الإلزامية، وقواعد أكثر صرامة لنقل البيانات عبر الحدود.
روح المادة 18 بسيطة: يجب أن تبقى البيانات الشخصية للمقيمين الجزائريين تحت الولاية القضائية الجزائرية ما لم تأذن ANPDP بخلاف ذلك. عملياً، يتقاطع هذا مع قاعدة أقدم ولكنها لا تزال ملزمة — القرار رقم 48/SP/PC/ARPT/17 الصادر في نوفمبر 2017 — الذي يُلزم مشغّلي السحابة العامة باستضافة وتخزين بيانات العملاء على التراب الوطني، وضمان النسخ الاحتياطية محلياً، وتطبيق ضوابط أمنية منطقية ومادية.
بالنسبة للشركات الجزائرية، الأثر المشترك واضح: بشكل افتراضي، يجب أن تتم معالجة البيانات الشخصية على البنية التحتية الجزائرية، وأي نقل إلى الخارج يتطلب إذناً صريحاً من الجهة التنظيمية.
ما تتطلبه المادة 18 فعلياً
الحزمة الأساسية للامتثال لأي شركة تعالج البيانات الشخصية للمقيمين الجزائريين أصبحت على هذا النحو:
- الاستضافة المحلية بشكل افتراضي — يجب تخزين البيانات الشخصية على بنية تحتية موجودة في الجزائر ما لم يُمنح إذن نقل خاص.
- التسجيل لدى ANPDP — يجب على المسؤولين عن المعالجة تقديم تصريحات أو طلب أذونات حسب حساسية المعالجة.
- تعيين DPO — بعد تعديل 2025، يجب على المؤسسات التي تعالج بيانات شخصية على نطاق واسع تعيين مسؤول حماية البيانات.
- DPIA للمعالجة عالية المخاطر — التزام جديد بموجب القانون 25-11 للملفات التعريفية والبيانات البيومترية والمعالجة الواسعة النطاق.
- ممثل محلي للمسؤولين الأجانب — يجب على أي شركة أجنبية تعالج البيانات الشخصية الجزائرية تعيين ممثل مقيم في الجزائر.
- إذن النقل عبر الحدود — تتطلب عمليات النقل إلى الخارج موافقة ANPDP، مع عقوبات للنقل غير المصرّح به.
تتراوح العقوبات المالية من 20,000 دج إلى 1,000,000 دج، مع أحكام سجن من شهرين إلى خمس سنوات للانتهاكات الخطيرة — وهي رافعة مؤثرة كانت نظرية إلى حد كبير قبل أن تصبح ANPDP عاملة.
إعلان
من يمتثل، ومن لا يمتثل — خريطة عملية
ينقسم الامتثال الجزائري في 2026 إلى ثلاث فئات واضحة.
الاستضافة المحلية الكاملة (ممتثل بوضوح): يستوفي مقدّمو الخدمات الذين يشغّلون مراكز بيانات على الأراضي الجزائرية اختبار الموقع الجغرافي دون تحفظات. ICOSNET، الذي يعمل منذ 1999، يُشغّل مراكز بيانات في الجزائر العاصمة (الشراقة) ووهران ويضع نفسه كمزود سحابي محلي متكامل يغطي الاستضافة وخوادم VPS والاتصالات الموحدة. Djaweb، الشركة التابعة للاستضافة التابعة لاتصالات الجزائر، ترسخ سوق القطاع العام والمؤسسات الصغيرة والمتوسطة. اعتمدت Sonatrach والبنوك والوزارات تاريخياً على بنية تحتية سيادية في هذه الفئة.
الوجود الهجين / الإقليمي (امتثال جزئي): لا تمتلك شركات الحوسبة السحابية العملاقة العالمية — AWS و Microsoft Azure و Google Cloud — منطقة مراكز بيانات داخل الجزائر. تقع أقرب عقدها في أوروبا (باريس، ميلانو، فرانكفورت) أو الخليج. يتطلب استخدامها للبيانات الشخصية الجزائرية إما إذناً صريحاً من ANPDP للنقل الدولي أو حلولاً معمارية مثل الاحتفاظ بالبيانات الشخصية على البنية التحتية الجزائرية المحلية مع استخدام شركات الحوسبة السحابية العملاقة فقط للتحليلات غير الشخصية أو منطق التطبيقات.
غير الممتثل افتراضياً (فئة المخاطر): أدوات SaaS الشائعة — منصات CRM، وخدمات التسويق عبر البريد الإلكتروني، وأدوات التوقيع الإلكتروني، ومنصات الموارد البشرية — التي تخزّن البيانات الشخصية للعملاء في مناطق الولايات المتحدة أو الاتحاد الأوروبي دون وجود محلي. تعتمد العديد من الشركات الصغيرة والمتوسطة الجزائرية على هذه الأدوات دون أن تقدّم أبداً طلب نقل إلى ANPDP، مما يخلق مسؤولية امتثال متنامية يشددها تعديل 2025.
دليل الامتثال العملي
استناداً إلى ما يوصي به الممارسون المحليون ومكاتب المحاماة في 2026، يكون تسلسل الخطوات للشركات الجزائرية:
- تعيين البيانات أولاً. قم بجرد كل نظام يلامس البيانات الشخصية — الموظفين والعملاء والشركاء. لا يمكنك الامتثال للمادة 18 دون معرفة موقع البيانات فعلياً.
- التصنيف حسب الحساسية. سجلات هوية العملاء والبيانات المالية والبيانات الصحية تحمل أكبر ضغط توطين. التحليلات التسويقية على بيانات مجهولة الهوية أقل خطورة.
- الترحيل المحلي بشكل افتراضي. لأي نظام يتعامل مع البيانات الشخصية على مستوى الهوية، المسار الأكثر أماناً في 2026 هو الاستضافة على البنية التحتية الجزائرية. يسوّق مزوّدون مثل ICOSNET و Djaweb ومستضيفون متخصصون مثل Hostarts و WebServices.dz امتثالهم للقانون 18-07 مباشرةً.
- تقديم تصريحات ANPDP. التصريحات إلزامية لمعظم أنشطة المعالجة؛ الأذونات مطلوبة للفئات الحساسة والنقل عبر الحدود.
- تعيين DPO. حتى للشركات متوسطة الحجم، تعيين DPO يُشير إلى الجهة التنظيمية بوجود حوكمة.
- التعاقد مع المورّدين. أي مورّد SaaS يحتفظ ببيانات شخصية جزائرية يجب أن يوقّع الآن اتفاقيات معالجة البيانات التي تعكس التزامات القانون 18-07.
- تخصيص ميزانية للـ DPIA. أي نشر جديد للذكاء الاصطناعي، نظام بيومتري، أو محرك تنميط واسع النطاق يحتاج إلى DPIA في الملف قبل التشغيل.
الفرصة للاقتصاد الرقمي الجزائري
غالباً ما يتم تأطير التوطين الصارم كتكلفة. في حالة الجزائر، هو أيضاً رافعة سياسة صناعية. كل دينار جزائري يُعاد توجيهه من SaaS الأجنبي إلى مشغّل مركز بيانات محلي هو إيراد يتراكم في وظائف محلية، وتمديد الألياف البصرية، ومهارات في DevOps وهندسة الأمن. بصمة مراكز البيانات متعددة المدن لـ ICOSNET، والعمود الفقري للألياف لاتصالات الجزائر، ومجموعة متنامية من مزودي الاستضافة من الطبقة المتوسطة تجعل 2026 السنة الأولى التي تكون فيها «السحابة الجزائرية» إجابة موثوقة، وليس مجرد عنصر نائب.
بالنسبة للنظام البيئي، السؤال الأكثر إثارة للاهتمام هو ما إذا كانت قرارات ANPDP ستدفع الجهة التنظيمية إلى إضفاء الطابع الرسمي على قائمة «الدول المعترف بها» لعمليات النقل عبر الحدود (على غرار آلية الكفاية في GDPR). إطار كفاية يمكن التنبؤ به من شأنه أن يسمح للشركات الجزائرية باستخدام مزودين دوليين موثوقين لأعباء العمل غير الحساسة مع الحفاظ على حزمة البيانات الحرجة للهوية سيادية — توازن تتوصل إليه في النهاية معظم أنظمة حماية البيانات الناضجة.
الشركات التي تبدأ عمل الامتثال في 2026 ستكون في وضع أفضل بكثير من تلك التي تنتظر أول إجراء تطبيق بارز.
الأسئلة الشائعة
ماذا تتطلب فعلياً المادة 18 من القانون 18-07؟
تتطلب المادة 18 أن تُخزَّن البيانات الشخصية للمقيمين الجزائريين على بنية تحتية موجودة في الجزائر ما لم تمنح ANPDP إذناً محدداً للنقل عبر الحدود. بالاقتران مع القرار رقم 48/SP/PC/ARPT/17، يجب على مشغلي السحابة العامة أيضاً ضمان النسخ الاحتياطية المحلية وتطبيق ضوابط أمنية منطقية ومادية.
ما هي عقوبات عدم الامتثال في 2026؟
تتراوح العقوبات المالية من 20,000 دج إلى 1,000,000 دج، مع أحكام سجن من شهرين إلى خمس سنوات للانتهاكات الخطيرة. منذ تعديل يوليو 2025 عبر القانون 25-11 ودخول ANPDP حيّز العمل، لم تعد هذه العقوبات نظرية — يمكن للجهة التنظيمية الآن التحقيق والمعاقبة وإحالة القضايا.
هل لا تزال الشركات الجزائرية قادرة على استخدام AWS أو Azure أو Google Cloud؟
نعم، ولكن فقط لأعباء العمل غير الشخصية أو في إطار إذن صريح لنقل البيانات عبر الحدود من ANPDP. النمط الأكثر أماناً في 2026 هو بنية هجينة: البيانات الشخصية على مستوى الهوية على البنية التحتية الجزائرية (ICOSNET، Djaweb، Hostarts، WebServices.dz) مع استخدام شركات الحوسبة السحابية العملاقة للتحليلات المجهولة الهوية أو منطق التطبيقات.
المصادر والقراءات الإضافية
- Guide on Algeria Data Protection Law 18-07 and its Amendments — CookieYes
- Data protection and cybersecurity laws in Algeria — CMS Expert Guide
- Algeria Data Protection Overview — DataGuidance
- Hébergement web et loi 18-07 ANPDP : êtes-vous en conformité ? — Hostarts
- Which Way for Data Localisation in Africa? — CIPESA
- Algiers Data Center in Cheraga — ICOSNET
