ما يُؤسسه المرسوم 25-320
في 30 ديسمبر 2025، أصدرت الجزائر المرسوم الرئاسي رقم 25-320 المُنشئ للإطار الوطني لحوكمة البيانات. استناداً إلى سجل Digital Policy Alert وفصل CMS حول الجزائر، يُحدد المرسوم ثلاث ركائز:
- تصنيف البيانات — تصنيف مُهيكل للبيانات التي تحتفظ بها الإدارات العمومية، يُغطي مستويات الحساسية (عام، داخلي، مقيد، سري) والمجالات القطاعية.
- فهرسة البيانات — كل إدارة عمومية مطالَبة بالاحتفاظ بفهرس لأصول بياناتها، يَصِف هذه الأصول بطريقة تُتيح إعادة الاستخدام والمشاركة المُؤطَّرة.
- قابلية التشغيل البيني الآمن — يجب أن تتمكن الإدارات العمومية من تبادل البيانات فيما بينها عبر قنوات آمنة وموحدة، متوافقة مع قواعد الأمن السيبراني وحماية البيانات الشخصية.
يقف هذا المرسوم إلى جانب أدوات قائمة: القانون 18-07 لحماية البيانات الشخصية (المُعدَّل بالقانون 25-11)، وقانون الأمن السيبراني لعام 2024، وتنظيم الحوسبة السحابية الذي تُنفّذه ARPCE. المرسوم 25-320 هو الطبقة التي تُخبر الهيئات العمومية كيف تُنظّم بياناتها حتى يُمكن للقوانين الأخرى أن تعمل فوقها.
هذه المقالة دليل توضيحي للموردين والمُكامِلين ومهندسي السحابة الذين يبيعون للقطاع العام الجزائري أو يبنون له — لا انتقاد للمرسوم أو للإدارات المُنفِّذة.
لمن يهم هذا الأمر
رغم أن المرسوم يُخاطب الإدارات العمومية مباشرة، فإن الأثر التشغيلي ينتشر عبر منظومة الموردين:
- مزودو SaaS الذين يخدمون الوزارات والوكالات والجماعات المحلية والمستشفيات والجامعات العمومية — يجب أن تتلاءم منصاتهم مع نموذج التصنيف والفهرسة.
- المُكامِلون الذين يبنون أو يُحدّثون أنظمة المعلومات العمومية — ستُشير الصفقات إلى المرسوم بشكل متزايد.
- مهندسو السحابة الذين يُصمّمون landing zones للعملاء العموميين — يجب أن تدعم معماريات المرجع لديهم التخزين المُصنَّف ومنافذ الفهرس وواجهات API للتشغيل البيني افتراضياً.
- مكاتب الاستشارة التي ترافق التحول الرقمي في القطاع العام — ستُصبح تقييمات نضج حوكمة البيانات مهمة متكررة.
الشركات الخاصة ليست مُلزَمة مباشرة بالمرسوم 25-320، لكن تلك التي تُستهلك منتجاتها من طرف الإدارات العمومية (أو التي تتبادل البيانات معها) ستَرث بحكم الواقع توقعاته.
التصنيف: طبقة التصنيف التي يحتاجها كل منتج
التصنيف هو الأساس. بدونه، لا يمكن للفهرسة ولا للتشغيل البيني أن يعملا بسلاسة. تنفيذ متوافق مع توقعات المرسوم 25-320 يتطلب:
- مخططاً للتصنيف بمعايير واضحة لكل مستوى (مثل البيانات العامة على موقع الإدارة، البيانات الداخلية للاستخدام اليومي، البيانات المقيدة المتعلقة بالمواطنين، البيانات السرية المرتبطة بأمن الدولة).
- آلية وسم على مستوى البيانات — علامات في قواعد البيانات، وميتاداتا في مخازن المستندات، وسمات تصنيف في ترويسات الملفات، أو تسميات على buckets التخزين الكائني.
- قاعدة انتشار — حين تنتقل البيانات بين الأنظمة، يتبعها التصنيف. هنا تفشل معظم التنفيذات: تقرير مُصدَّر إلى Excel يفقد علامة حساسيته ما لم تفرضها المنصة.
بالنسبة للموردين، الدرس التصميمي واضح: المنصات المباعة لعملاء عموميين جزائريين في 2026 يجب أن تُظهر حقل تصنيف افتراضياً وأن تُتيح للمدراء تهيئة التصنيف.
إعلان
الفهرسة: من جدول البيانات إلى API
الفهرس أكثر من قائمة جرد. ضمن الإطار، يجب أن تكون كل إدارة قادرة على وصف مجموعات بياناتها — من يملكها، وكيف أُنشئت، وبأي تواتر تُحدَّث، ومن يمكنه الوصول إليها، وتحت أي شروط يمكن مشاركتها.
متطلبات عملية ينبغي للموردين توقعها:
- معايير الميتاداتا — دعم للمعايير الشائعة (DCAT-AP نقطة انطلاق معقولة) لتمكين الاكتشاف بين الإدارات.
- أحداث دورة الحياة — يجب أن يَعكس الفهرس الإنشاء والتحديثات والأرشفة والحذف.
- ضوابط وصول مرتبطة بالتصنيف — يجب أن تكون إدخالات الفهرس مرئية فقط للأشخاص المُصرَّح لهم.
- واجهات قابلة للقراءة آلياً — فهرس عام مفيد للمواطنين، وAPI للفهرس مفيد للإدارات الأخرى.
فريق تنفيذ يُحضر عطاءً وزارياً يجب أن يتعامل مع “API الفهرس” كمتطلب من الدرجة الأولى، لا كإضافة لاحقة.
التشغيل البيني الآمن: العمل الهندسي الحقيقي
قابلية التشغيل البيني هي المكان الذي يؤتي فيه الانضباط المعماري ثماره. يُؤطّر المرسوم التبادلات بين الإدارات العمومية كقناة آمنة ومُوثَّقة — وليس CSV مُرسل عبر البريد الإلكتروني بين الوزارات.
حزمة تشغيل بيني متوافقة تبدو كالآتي:
- نقاط نهاية مُصادَقة — TLS متبادل بين أنظمة الإدارات، بشهادات صادرة عن هرمية معترف بها.
- الهوية والتفويض — كل طلب موقَّع من إدارة معروفة ومُحدَّد على مستوى تصنيف دقيق.
- أمن النقل والحمولة — التشفير أثناء النقل إلزامي؛ التشفير أثناء السكون يتبع مستوى التصنيف.
- التسجيل والتدقيق — كل تبادل مُسجَّل بمسار مقاوم للتلاعب لأغراض التدقيق لاحقاً، بما يتسق مع التزامات الأمن السيبراني.
- الاتساق مع حماية البيانات — حين يشمل التبادل بيانات شخصية، يجب أن يحترم مبادئ المشروعية والتقليل الواردة في القانون 18-07 / القانون 25-11.
مهندسو السحابة الذين يُصمّمون landing zones لعملاء عموميين يجب أن يُدمجوا هذه الضوابط في التصميم المرجعي، حتى تَرث كل حمولة عمل جديدة هذه الضوابط دون إعادة التفاوض على الأمن في كل مرة.
إطار الامتثال ثلاثي الركائز للموردين
لا ينبغي لموردي السحابة الذين يخدمون الإدارات العمومية الجزائرية الانتظار حتى تصدر لوائح تنفيذية مفصلة. الركائز الثلاث الموضّحة أدناه تُترجم الالتزامات الأساسية للمرسوم 25-320 إلى متطلبات هندسية قابلة للتنفيذ.
الركيزة الأولى: التصنيف — وسم كل كائن بيانات عند المصدر
يُرسي المرسوم 25-320 مبدأ الترقيم وتصنيف البيانات في الإدارة العمومية. بالنسبة للموردين، هذا يعني أن بيانات التعريف لكل كيان بيانات مُنشأ أو نقله أو مُعالَج يجب أن تحمل تصنيفه عند الإنشاء، لا أن تُضاف لاحقاً. مُزوّدو خدمات السحابة الذين يُقدّمون حلولاً لعملاء القطاع العام يجب أن يُضمّنوا حقل التصنيف في مخططات البيانات الخاصة بهم ويُحبطوا أي مسار يسمح بإنشاء كائنات بيانات دون تصنيف. الأتمتة هي الوسيلة الوحيدة القابلة للتوسع: التصنيف اليدوي يُنتج معدلات خطأ تتراوح بين 30 و40 بالمئة في الممارسة العملية. خلاصة سريعة: أضف التحقق من التصنيف إلى خط أنابيب CI/CD الخاص بك وافرضه كشرط إلزامي لقبول طلبات السحب.
الركيزة الثانية: الفهرسة — عرض واجهة برمجة تطبيقات لأصول البيانات قابلة للقراءة آلياً
تُلزم اشتراطات الفهرسة في المرسوم 25-320 كل جهة عمومية بامتلاك جرد آلي للبيانات. بالنسبة للموردين، ذلك يُترجَم إلى توفير نقطة نهاية واجهة برمجة تطبيقات تعيد قائمة بأصول البيانات المُدارة مع بيانات التعريف الخاصة بكل أصل: التصنيف، الحساسية، الموقع، حالة التشفير، آخر تاريخ للوصول. الجهات العمومية ليس باستطاعتها إنتاج الجرود الخاصة بها إذا لم يُصمَّم الموردون نقطة إفصاح مناسبة. النظام الذي يمكن فهرسته فقط يدوياً سيُنتج جرداً منتهي الصلاحية في اليوم الثاني من توثيقه. خلاصة سريعة: أدرج نقطة نهاية /api/v1/data-catalog في معيار واجهة برمجة التطبيقات الخاصة بك وضمن اتفاقية مستوى الخدمة الخاصة بك قرارات الامتثال ذات الصلة.
الركيزة الثالثة: قابلية التشغيل البيني — تطبيق mutual TLS وتسجيل مدقق منظّم بشكل افتراضي
تُعرّف الفقرة المتعلقة بالتبادل الإلكتروني في المرسوم 25-320 الاشتراطات الأمنية لتدفقات البيانات بين المنصات. الحد الأدنى الهندسي غير القابل للتفاوض هو: mutual TLS لكل اتصال بين خدمتين، وتسجيل مدقق منظّم يحمل معرّف الطرف الطالب والإجراء ورمز الاستجابة وطابع التوقيت لكل عملية تبادل. النظام الذي يُنتج سجلات شبه منظّمة مكتوبة إلى ملف نصي لا يُلبّي هذه المتطلبات. يجب أن تُكتب السجلات إلى منصة SIEM متوافقة مع تنسيق مُعيَّن مسبقاً، يمكن الاستعلام عنها لأغراض التدقيق بعد الواقعة.
ما الذي يأتي بعد ذلك
المرسوم 25-320 هو طبقة الإطار لا طبقة التنفيذ. الاثنا عشر شهراً القادمة ستُنتج المراسيم التطبيقية والتعاميم الوزارية والتوجيهات التقنية الصادرة عن ARPCE التي ستُترجم الركائز الثلاث إلى متطلبات تقنية وتعاقدية محددة. الموردون ومهندسو السحابة الذين يعاملون هذه اللحظة بوصفها مرحلة انتظار سيجدون أنفسهم في وضع أدنى: المنظمات التي تبدأ الآن في محاذاة خارطة طريق منتجاتها ومعماريات الإشارة لديها ستواجه الموجة الأولى من المناقصات بقدرة موثقة؛ تلك التي تنتظر التوجيهات النهائية ستضطر إلى تكييف حوكمتها تحت ضغط مواعيد المناقصات.
ثلاثة تطورات تستحق المتابعة الدقيقة. أولاً، التوجيهات التقنية لـ ARPCE بشأن متطلبات تصنيف السحابة — الجهة الأكثر ترجيحاً لتحديد أي مستويات التصنيف يجب تطبيقها على أي طبقة تخزين. ثانياً، موقف ANPDP من حقوق الوصول إلى كتالوج البيانات — بوصفها سلطة حماية البيانات الشخصية، ستُحدد ANPDP كيفية تحديد نطاق إدخالات الكتالوج التي تشمل بيانات شخصية وشروط الوصول إليها. ثالثاً، امتداد الإطار إلى المؤسسات العامة ذات الطابع التجاري — المرسوم يُخاطب الإدارات العامة، لكن النصوص التطبيقية ستوضح ما إذا كانت كيانات مثل سوناطراك واتصالات الجزائر والبنوك الحكومية الكبرى تقع ضمن نطاقه.
الموردون المستثمرون بالفعل في الامتثال لقطاع الخدمات العامة الأوروبي وفق NIS2 وقانون حوكمة البيانات الأوروبي سيجدون أن الإطار الجزائري مشابه هيكلياً. هذا التشابه ليس صدفةً — فالجزائر تاريخياً تُحاذي بنيتها التحتية لحوكمة البيانات الرقمية مع النموذج الفرنسي، والمرسوم 25-320 يعكس هذه المحاذاة. المعنى العملي أن الموردين الممتثلين بالفعل للقطاع العام الأوروبي يستطيعون التكيّف لا إعادة البناء من الصفر.
الأسئلة الشائعة
على من يُطبَّق المرسوم 25-320؟
يُطبَّق المرسوم 25-320 على الإدارات العمومية الجزائرية — الوزارات والوكالات والمؤسسات العمومية والجماعات المحلية. الشركات الخاصة ليست مُلزَمة مباشرة، لكن الموردين والمُكامِلين العاملين مع عملاء عموميين سيشهدون تتالي توقعاته عبر الصفقات والعقود.
كيف يتفاعل المرسوم 25-320 مع القانون 18-07 / القانون 25-11؟
يُركّز المرسوم 25-320 على كيفية تنظيم الإدارات العمومية لبياناتها وفهرستها وتبادلها. يَحكم القانون 18-07 (المُعدَّل بالقانون 25-11) معالجة البيانات الشخصية. عندما تتضمن مُبادلات بين الإدارات بيانات شخصية، يُطبَّق الإطاران معاً: يجب أن يكون التبادل مُصنَّفاً ومُفهرَساً وآمناً (المرسوم 25-320)، وكذلك مشروعاً ومُقلَّصاً ومحترماً للحقوق (القانون 25-11).
ما الذي ينبغي لمهندس السحابة تغييره في تصاميمه المرجعية للعملاء العموميين الجزائريين؟
جعل علامات التصنيف سمة من الدرجة الأولى لخدمات التخزين، ودمج ربط API للفهرس في خطوط البيانات، وفرض TLS المتبادل مع تسجيل مركزي لأي تبادل بين الإدارات، ومواءمة إعدادات التشفير مع مستوى التصنيف. التعامل مع هذه الضوابط بوصفها افتراضية لا إضافات.
