Ce que la loi 11-25 change concrètement pour les entreprises algériennes
La loi n° 25-11 du 24 juillet 2025 modifie et complète la loi fondatrice de l’Algérie en matière de protection des données, la loi 18-07 du 10 juin 2018. Cet amendement rapproche l’Algérie des pratiques de confidentialité internationalement alignées et introduit un ensemble d’obligations concrètes que la plupart des entreprises algériennes n’avaient pas connues auparavant : un DPD obligatoire, un registre formel des activités de traitement, des Analyses d’Impact sur la Protection des Données pour les traitements à risque élevé, une consultation préalable auprès de l’autorité et une notification obligatoire des violations.
Pour les dirigeants, la question pratique n’est plus « la protection des données est-elle une priorité ? », mais « à quoi ressemble un workflow de conformité opérationnel ? ». De nombreux responsables de traitement algériens — banques, assureurs, plateformes de e-commerce, hôpitaux, systèmes RH, services numériques grand public — traitent déjà des volumes importants de données personnelles. La loi 11-25 transforme ces pratiques en un programme documenté et auditable.
Étape 1 — Nommer un DPD qualifié et le notifier à l’ANPDP
L’amendement rend la nomination d’un DPD obligatoire, avec des exigences de compétences et de connaissances en matière de protection des données. Les organisations qui collectent et traitent des données personnelles doivent désigner un Délégué à la Protection des Données et communiquer ses coordonnées à l’Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP), l’autorité de protection des données établie par la loi 18-07.
Questions pratiques que chaque entreprise doit trancher :
- Interne ou externalisé ? Les petites et moyennes organisations trouveront souvent un DPD externe (généralement un avocat ou un consultant en confidentialité en retenue) plus simple qu’un recrutement à temps plein. Les structures plus importantes au traitement complexe — banques, opérateurs télécoms, administrations publiques, grands détaillants — préféreront un DPD interne avec un accès direct à la direction générale.
- Ligne hiérarchique. Le DPD doit pouvoir opérer de manière indépendante. En pratique, cela signifie un rattachement au PDG, au Secrétaire Général ou au niveau du Conseil — jamais enseveli dans la DSI ou les RH, où naissent les conflits d’intérêts.
- Notification. Une fois nommé, les coordonnées du DPD doivent être formellement communiquées à l’ANPDP.
Étape 2 — Construire le Registre des Activités de Traitement (RAT)
La loi 11-25 impose aux organisations de tenir un registre des activités de traitement. C’est la colonne vertébrale de toutes les autres étapes de conformité : sans une cartographie de ce qui est traité, pour quelle finalité, par qui et avec quels destinataires, on ne peut ni mener d’AIPD, ni répondre aux demandes des personnes concernées, ni évaluer une violation.
Un RAT minimalement viable doit contenir, pour chaque activité de traitement : finalité (paie, CRM, onboarding client, vidéosurveillance, etc.), catégories de personnes concernées et catégories de données personnelles, base légale, destinataires (y compris les transferts hors de l’Algérie), durées de conservation et mesures de sécurité.
Construisez la première version sous forme de tableur s’il le faut — l’objectif est l’exhaustivité, pas l’élégance. Mettez-le à jour au moins annuellement et chaque fois qu’un nouveau traitement démarre.
Publicité
Étape 3 — Réaliser des AIPD sur les traitements à risque élevé
La loi impose des Analyses d’Impact sur la Protection des Données pour les activités de traitement à risque élevé. Dans le contexte algérien actuel, cela inclut typiquement : traitement à grande échelle de données de santé (hôpitaux, assureurs), identification biométrique (reconnaissance faciale ou empreintes pour l’accès ou le paiement), surveillance des employés (géolocalisation, logiciels de productivité, CCTV au-delà de la réception), scoring de crédit et décisions automatisées affectant les clients, traitement de données relatives à des mineurs à grande échelle, et systèmes publics d’identité numérique ou de KYC.
Une AIPD documente le traitement, évalue les risques pour les personnes concernées et définit des mesures de mitigation. Lorsque le risque résiduel reste élevé, la loi 11-25 prévoit une consultation préalable auprès de l’ANPDP avant le lancement.
Étape 4 — Préparer un plan de réponse aux violations à cinq jours
L’un des changements les plus exigeants sur le plan opérationnel est l’obligation de notification : les violations de données personnelles doivent être notifiées à l’ANPDP sous cinq jours. Un plan opérationnel comprend un chemin de détection (surveillance, alertes SOC, remontées des employés) qui atteint le DPD en heures, pas en jours ; une matrice de décision distinguant incidents (sans impact sur les données personnelles) et violations notifiables ; un modèle de notification pré-rédigé couvrant la nature de la violation, les catégories et nombre approximatif de personnes concernées, les conséquences probables et les mesures de confinement ; et un plan de communication aux personnes concernées lorsque la violation est susceptible d’entraîner un risque élevé.
Les organisations sans playbook de réponse aux incidents aujourd’hui devraient en faire une priorité 2026. Cinq jours, ce n’est pas beaucoup une fois qu’un incident est détecté.
Étape 5 — Mettre à jour les contrats, les mentions et les parcours de consentement
Les mentions destinées aux clients, les politiques de confidentialité des salariés et les contrats avec les prestataires IT et cloud doivent tous être alignés sur les nouvelles obligations. Livrables pratiques : mentions de confidentialité sur site web et applications référençant la loi 18-07 modifiée par la loi 25-11 ; mentions de confidentialité des salariés décrivant les traitements RH, de surveillance et des avantages ; clauses de traitement des données dans les contrats fournisseurs — particulièrement critiques pour le cloud, les SaaS et la paie externalisée ; et parcours de consentement pour le marketing, les cookies et tout traitement de données sensibles.
Les organisations déjà en relation avec des partenaires internationaux constateront qu’un alignement sur les pratiques de type RGPD facilite considérablement cette étape, la plupart des artefacts requis existant déjà sous forme de modèles.
Questions Fréquemment Posées
Quelle est la date limite pour que les entreprises algériennes nomment un Délégué à la Protection des Données ?
La loi 25-11 du 24 juillet 2025 a modifié la loi 18-07 et introduit l’obligation de nommer un DPD. Les obligations sont entrées en vigueur dès juillet 2025 ; en pratique, les responsables de traitement algériens devraient déjà disposer d’un DPD désigné en 2026 et doivent communiquer ses coordonnées à l’ANPDP. Les organisations encore sans DPD devraient traiter ce point comme une priorité de conformité immédiate.
Un même DPD peut-il couvrir plusieurs entreprises algériennes d’un même groupe ?
Oui — un groupe de sociétés peut désigner un unique DPD couvrant plusieurs entités, à condition qu’il reste accessible aux personnes concernées de chaque organisation et qu’il puisse consacrer suffisamment de temps à la fonction. Pour les petites et moyennes entreprises, un DPD partagé ou externalisé (typiquement un consultant ou un avocat en retenue) constitue un moyen pratique de remplir l’obligation sans recrutement à temps plein.
Que se passe-t-il si une entreprise algérienne ne notifie pas une violation dans les cinq jours ?
L’ANPDP est l’autorité compétente pour l’application de la protection des données en Algérie en vertu de la loi 18-07 modifiée. Le non-respect des obligations de notification et des autres obligations expose l’organisation à des sanctions administratives définies par le cadre de protection des données. Au-delà des pénalités légales, l’impact réputationnel d’une violation mal gérée — surtout lorsqu’elle touche des données financières ou des documents d’identité — dépasse souvent le coût réglementaire.
