Décret Présidentiel 25-320 : guide pratique pour éditeurs et architectes cloud du secteur public algérien

Ce que pose le Décret 25-320

Le 30 décembre 2025, l’Algérie a publié le Décret Présidentiel n° 25-320 instituant un cadre national de gouvernance des données. D’après le suivi du registre de Digital Policy Alert et du guide CMS sur l’Algérie, le décret articule trois piliers :

1. Classification des données — une taxonomie structurée pour les données détenues par les administrations publiques, couvrant les niveaux de sensibilité (public, interne, restreint, confidentiel) et les domaines métier.
2. Catalogage des données — chaque administration publique doit tenir un catalogue de ses actifs de données, en les décrivant de manière à permettre la réutilisation et le partage encadré.
3. Interopérabilité sécurisée — les administrations publiques doivent pouvoir échanger des données entre elles via des canaux sécurisés et normalisés, alignés sur les règles de cybersécurité et de protection des données personnelles.

Ce décret se place à côté d’instruments déjà en place : la Loi 18-07 sur la protection des données personnelles (amendée par la Loi 25-11), la loi cybersécurité de 2024, et la réglementation cloud appliquée par l’ARPCE. Le Décret 25-320 est la couche qui dit aux organismes publics comment organiser leurs données pour que les autres lois puissent opérer au-dessus.

Cet article est un guide explicatif pour les éditeurs, intégrateurs et architectes cloud qui vendent au secteur public algérien ou bâtissent pour lui — et non une critique du décret ou des administrations qui le mettent en œuvre.

Pour qui cela compte

Même si le décret s’adresse directement aux administrations publiques, l’impact opérationnel se diffuse à tout l’écosystème fournisseurs :

• Éditeurs SaaS au service des ministères, agences, collectivités, hôpitaux ou universités publiques — leurs plateformes devront s’adapter au modèle classification/catalogue.
• Intégrateurs qui construisent ou modernisent les SI publics — les appels d’offres citeront de plus en plus le décret.
• Architectes cloud concevant des landing zones pour les clients publics — leurs architectures de référence devront supporter stockage classifié, hooks vers le catalogue et APIs d’interopérabilité par défaut.
• Cabinets conseil qui accompagnent la transformation numérique publique — les évaluations de maturité en gouvernance des données deviendront une mission récurrente.

Les entreprises privées ne sont pas directement liées par le Décret 25-320, mais celles dont les produits sont consommés par les administrations publiques (ou qui échangent des données avec elles) en hériteront de fait les exigences.

Classification : la couche de tags que tout produit doit exposer

La classification est la fondation. Sans elle, ni le catalogage ni l’interopérabilité ne peuvent fonctionner proprement. Une implémentation conforme aux attentes du Décret 25-320 nécessite :

• Un schéma de classification avec des critères clairs pour chaque niveau (par exemple données publiques du site de l’administration, données internes d’usage quotidien, données restreintes sur les citoyens, données confidentielles liées à la sécurité de l’État).
• Un mécanisme d’étiquetage au niveau des données — tags dans les bases, métadonnées dans les dépôts documentaires, attributs de classification dans les en-têtes de fichiers, labels sur les buckets de stockage objet.
• Une règle de propagation — quand une donnée se déplace d’un système à l’autre, la classification suit. C’est là que la plupart des implémentations échouent : un rapport exporté en Excel perd son étiquette de sensibilité sauf si la plateforme l’impose.

Pour les éditeurs, l’implication de conception est claire : les plateformes vendues à des clients publics algériens en 2026 doivent exposer un champ de classification par défaut et permettre aux administrateurs de configurer la taxonomie.

Catalogage : du tableur à l’API

Un catalogue, c’est plus qu’un inventaire. Dans le cadre du décret, chaque administration doit pouvoir décrire ses jeux de données — qui les possède, comment ils ont été créés, à quelle fréquence ils sont mis à jour, qui peut y accéder, dans quelles conditions ils peuvent être partagés.

Les exigences pratiques à anticiper côté éditeurs :

• Standards de métadonnées — prise en charge des standards usuels (DCAT-AP est une base raisonnable) pour rendre la découverte inter-administrations possible.
• Événements de cycle de vie — le catalogue doit refléter création, mises à jour, archivage et suppression.
• Contrôles d’accès liés à la classification — les entrées du catalogue ne doivent être visibles qu’aux personnes autorisées.
• Interfaces lisibles par machine — un catalogue public est utile aux citoyens, une API de catalogue est utile aux autres administrations.

Une équipe projet qui prépare un appel d’offres ministériel doit traiter l’« API catalogue » comme une exigence de premier plan, pas comme une option.

Interopérabilité sécurisée : le vrai travail d’ingénierie

L’interopérabilité est l’endroit où la discipline architecturale paie. Le décret encadre les échanges entre administrations publiques comme un canal sécurisé et documenté — pas un CSV envoyé par e-mail entre ministères.

Une pile d’interopérabilité conforme ressemble à ceci :

• Endpoints authentifiés — TLS mutuel entre systèmes d’administrations, avec certificats issus d’une hiérarchie reconnue.
• Identité et autorisation — chaque requête est signée par une administration connue et cadrée sur un niveau de classification précis.
• Sécurité du transport et du payload — chiffrement en transit obligatoire ; chiffrement au repos suivant le niveau de classification.
• Journalisation et audit — chaque échange est journalisé avec une piste inviolable pour audit ultérieur, cohérent avec les obligations cybersécurité.
• Alignement protection des données — lorsque l’échange porte sur des données personnelles, il doit respecter les principes de licéité et de minimisation de la Loi 18-07 / Loi 25-11.

Les architectes cloud qui conçoivent des landing zones pour clients publics doivent intégrer ces contrôles dans le design de référence, de sorte que chaque nouveau workload les hérite sans débat sécurité à chaque fois.

Questions Fréquemment Posées

À qui s’applique le Décret 25-320 ?

Le Décret 25-320 s’applique aux administrations publiques algériennes — ministères, agences, établissements publics et collectivités locales. Les entreprises privées ne sont pas directement liées, mais les éditeurs et intégrateurs qui travaillent avec des clients publics verront ses exigences cascader via les appels d’offres et les contrats.

Comment le Décret 25-320 s’articule-t-il avec la Loi 18-07 / Loi 25-11 ?

Le Décret 25-320 porte sur la façon dont les administrations publiques organisent, cataloguent et échangent leurs données. La Loi 18-07 (amendée par la Loi 25-11) régit le traitement des données personnelles. Lorsqu’un échange inter-administrations inclut des données personnelles, les deux cadres s’appliquent : l’échange doit être classifié, catalogué et sécurisé (Décret 25-320), et également licite, minimisé et respectueux des droits (Loi 25-11).

Qu’un architecte cloud doit-il changer dans ses designs pour les clients publics algériens ?

Faire des tags de classification un attribut de première classe des services de stockage, intégrer un hook d’API de catalogue dans les pipelines de données, imposer TLS mutuel plus journalisation centralisée pour tout échange inter-administrations, et aligner les réglages de chiffrement sur le niveau de classification. Traiter ces contrôles comme des défauts, pas des options.

Questions fréquentes

Sources et lectures complémentaires

• Digital Policy Alert — Décret 25-320 Algérie
• CMS Expert Guide — Protection des données et cybersécurité en Algérie
• DataGuidance — Vue d'ensemble protection des données en Algérie
• CIPESA — Which Way for Data Localisation in Africa (note)
• DPA Digital Digest : Algérie édition 2025