دليل DPIA لدى ANPDP: امتثال قانون 25-11 في 2026

Q: ما الذي يحفز الاستشارة المسبقة لـ ANPDP بموجب قانون 25-11؟

حالتان تستوجبان على المسؤول استشارة ANPDP قبل بدء المعالجة: (1) عندما تظهر DPIA خطراً متبقياً مرتفعاً لم يتمكن المسؤول من تخفيفه، و(2) عندما تنطوي المعالجة على خطر مرتفع بسبب الآليات أو التقنيات المستخدمة — وهي عبارة جامعة تشمل عمليات نشر AI الحديثة والأنظمة البيومترية الكبرى. خطط لمهل استشارة لا تقل عن عدة أسابيع.

نُشر في أبريل 26, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

يضيف القانون 25-11 المؤرخ 24 يوليو 2025 المادة 45 مكرر 6 التي تشترط إجراء تقييم أثر حماية البيانات (DPIA) موثقاً لأي معالجة عالية الخطورة. تحتاج فرق الامتثال إلى سجل DPIA ونموذج موحد على مستوى المؤسسة وخطة استشارة مسبقة وفرق منتج مدربة — لا مجرد ملف خامل. يمكن لمفتشي ANPDP طلب الملف خلال أي عملية تفتيش ميدانية.

الخلاصة: ينبغي على مسؤولي الامتثال الجزائريين إنشاء سجل DPIA وتوحيد نموذج واحد عبر وحدات الأعمال قبل موجة التفتيشات الميدانية القادمة من ANPDP.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

قانون 25-11 المؤرخ في 24 يوليو 2025 هو أهم تحديث للنظام الجزائري لحماية البيانات منذ سبع سنوات وينطبق الآن على جميع المسؤولين عن المعالجة في القطاع الخاص تقريباً.

الجدول الزمني للعمل
فوري
▾

المادة 45 مكرر 6 سارية المفعول؛ المسؤولون الذين يديرون معالجة عالية الخطورة دون DPIA موثقة هم تقنياً غير ممتثلين وينبغي لهم التوثيق الرجعي دون تأخير.

أصحاب المصلحة الرئيسيون
DPO، مسؤولو الامتثال، CTO، مديرو المنتج

نوع القرار
تكتيكي
▾

هذا المقال دليل امتثال خطوة بخطوة يترجم التزاماً قانونياً إلى سير عمل تشغيلي، وليس تمريناً للأولويات الاستراتيجية.

مستوى الأولوية
عالي
▾

تفتيشات ANPDP الميدانية فعّالة وسجل DPIA من أول الوثائق التي يطلبها المفتش؛ ملف مفقود يخلق تعرضاً مباشراً للإنفاذ.

خلاصة سريعة: ينبغي على فرق الامتثال الجزائرية بناء سجل DPIA واعتماد نموذج موحد عبر وحدات الأعمال وتحديد خطة الاستشارة المسبقة لـ ANPDP مسبقاً وتدريب فرق المنتج والهندسة على رصد محفزات DPIA. التعامل مع DPIA كسير عمل حي — لا كنموذج لمرة واحدة — هو الفرق بين تفتيش ناجح وأمر إصلاح.

ما تطلبه المادة 45 مكرر 6 فعلياً من المسؤولين الجزائريين

يدخل القانون رقم 25-11 المؤرخ في 24 يوليو 2025، المعدّل والمكمل لقانون 18-07 المؤرخ في 10 يونيو 2018، التزاماً موثقاً بإجراء تقييم أثر حماية البيانات لم يكن موجوداً في الإطار الجزائري الأصلي. وفقاً لـ دليل CMS الخبير، تشترط المادة 45 مكرر 6 الجديدة على المسؤولين تقييم “المعالجة التي من شأنها أن تنطوي على خطر مرتفع على حقوق وحريات الأشخاص الطبيعيين” قبل بدء هذه المعالجة.

ومن ثم فإن DPIA وثيقة مسبقة، لا تقريراً لاحقاً للحادث. يجب إكمالها قبل تشغيل تدفقات البيانات — سواء كانت منصة تحليلات موارد بشرية جديدة أو نموذج تقييم عملاء أو نشر CCTV أو تحكم بيومتري بالوصول في موقع مصنع أو محرك تخصيص تسويقي. والمسؤولون الذين يعالجون بالفعل بيانات من هذا القبيل دون DPIA على الملف هم في وضع غير ممتثل تقنياً وينبغي عليهم التوثيق الرجعي للتقييم على سبيل الأولوية.

متى تكون DPIA مطلوبة بموجب قانون 25-11

القانون الجزائري، شأنه شأن GDPR الذي يستلهم منه، لا يحدد كل محفز على حدة. بل يستخدم اختباراً قائماً على المخاطر. ينبغي على فرق الامتثال اعتبار الفئات التالية ضمن DPIA الإلزامي افتراضياً:

معالجة البيانات الحساسة على نطاق واسع: السجلات الصحية والمعرّفات البيومترية (البصمة، الوجه، القزحية) والبيانات الجنائية والانتماء الديني أو السياسي والعضوية النقابية.
المراقبة المنهجية للمناطق العامة: CCTV على نطاق واسع، تتبع الموقع الجغرافي، مراقبة إنتاجية الموظفين.
التنميط واتخاذ القرارات الآلية: تقييم الائتمان وتقييم الاحتيال وفلاتر التوظيف والتنبؤ بفقدان العملاء وفلاتر القبول.
أصحاب البيانات الضعفاء: بيانات الأطفال وبيانات المرضى وبيانات الموظفين حيث يكون اختلال السلطة كبيراً.
التقنيات الجديدة: نماذج AI/ML المدربة على بيانات شخصية وأنظمة الوصول البيومتري ونشر IoT على نطاق واسع والهوية القائمة على blockchain وأي ترتيب نقل بيانات عابر للحدود.

تحتفظ السلطة بصلاحية نشر قائمتها الخاصة بالعمليات الإلزامية لـ DPIA. وحتى يصدر ذلك في الجريدة الرسمية، فإن المعيار الآمن هو: إذا كان من المتوقع أن يندهش موظف أو عميل عادي من أن البيانات تُعالج بهذه الطريقة، فأجرِ DPIA.

ملف التوثيق الذي يتوقعه مفتشو ANPDP

ليست DPIA مجرد مذكرة من صفحة واحدة. يعاملها القانون المعدّل كوثيقة إثبات مركزية للمعالجة عالية الخطورة. يشمل ملف DPIA القابل للدفاع:

وصف المعالجة — الأغراض، فئات البيانات، فئات أصحاب البيانات، المستلمون، فترات الاحتفاظ، وجهات النقل.
تقييم الضرورة والتناسب — لماذا المعالجة ضرورية، ولماذا رُفضت البدائل الأقل تطفلاً.
تحليل المخاطر — احتمالية وشدة الضرر على أصحاب البيانات (سرقة الهوية، التمييز، فقدان السرية، الخسارة المالية، الضرر الاجتماعي).
إجراءات التخفيف — تقنية (التشفير، استخدام الأسماء المستعارة، التحكم في الوصول) وتنظيمية (التدريب، العقود، سجلات التدقيق).
تقييم المخاطر المتبقية — ما يتبقى بعد التخفيف، وهل يصل ذلك الخطر المتبقي إلى مستوى يتطلب استشارة مسبقة لـ ANPDP.
توقيع DPO — رأي مكتوب من ضابط حماية البيانات، الذي تربطه المادة 45 مكرر 6 ضمنياً بدور الإشراف الذي يضطلع به DPO.
جدول المراجعة — DPIA وثائق حية يجب إعادة النظر فيها عند تغيير المعالجة بشكل جوهري.

يمكن لفرق الامتثال التي تعمل بالفعل بموجب المادة 35 من GDPR (الفروع التابعة لمجموعات أوروبية، المُصدّرون إلى الاتحاد الأوروبي، الشركات متعددة الجنسيات ذات العمليات الجزائرية) إعادة استخدام نماذج DPIA الحالية لديها إلى حد كبير — فقد صُمم الإطار الجزائري عمداً ليكون قابلاً للتشغيل البيني.

ما يحفز الاستشارة المسبقة لـ ANPDP

أهم قاعدة من الناحية التشغيلية في المادة 45 مكرر 6 هي شرط الاستشارة المسبقة. وفقاً لدليل CMS الخبير، يجب على المسؤولين استشارة السلطة الوطنية لحماية البيانات ذات الطابع الشخصي (ANPDP) قبل بدء المعالجة في حالتين:

تُظهر DPIA خطراً متبقياً مرتفعاً لم يتمكن المسؤول من تخفيفه.
تنطوي المعالجة على خطر مرتفع بسبب “الآليات أو التقنيات المستخدمة” — وهي عبارة جامعة تشمل عمليات نشر AI الحديثة والأنظمة البيومترية الكبرى والمشابه.

ليست الاستشارة المسبقة ختماً مطاطياً. يمكن لـ ANPDP أن تطلب تعديلات أو تفرض شروطاً أو ترفض المعالجة كلياً. ينبغي لفرق الامتثال التخطيط لمهلة استشارة لا تقل عن عدة أسابيع وتقديم ملف DPIA الكامل مع طلب الاستشارة.

ماذا يعني هذا لفرق الامتثال الجزائرية

يحوّل قانون 25-11 DPIA من مفهوم نظري إلى التزام موثق يمكن لمفتشي ANPDP طلبه أثناء تدقيق ميداني. الاستجابة الصحيحة تشغيلية وليست تطلعية.

1. ابنِ سجل DPIA قبل أن تحتاجه

احتفظ بسجل مركزي لجميع عمليات المعالجة وضع علامة على كل واحدة بحالة DPIA: مطلوبة-منجزة أو مطلوبة-معلقة أو غير مطلوبة-موثقة. كلمة “موثقة” مهمة — حين يسأل المفتش عن سبب عدم خضوع معالجة معينة لـ DPIA، يحتاج المسؤول إلى مبرر مكتوب لا إلى هز كتفين. تكتشف الشركات التي يزيد عدد موظفيها على 200 عادةً 15-30 عملية معالجة متميزة في أول جرد منظم؛ خصص أسبوعين من العمل المنظم لرسم خريطتها.

2. اعتمد نموذجاً واحداً عبر المؤسسة

النموذج المتباين لكل وحدة عمل يخلق لغة مخاطر غير متسقة ويصعّب مراجعة ANPDP. اختر نموذجاً واحداً — نموذج المادة 35 من GDPR الصادر عن CNIL أو ICO قاعدة انطلاق جيدة لأن القانون الجزائري انسجم مع الممارسة الأوروبية — واطلب من كل وحدة عمل استخدامه. يمتلك DPO النموذج؛ يصيغ مالك العمل لكل عملية معالجة المضمون؛ يراجع الفريق القانوني والأمن.

3. ابنِ خطة الاستشارة المسبقة الآن، لا عند بدء المشروع

لا تنتظر أول DPIA بمخاطر متبقية مرتفعة لصياغة خطاب الغلاف وعملية تقديم الاستشارة المسبقة. حدد مسبقاً من يوقع على المستوى التنفيذي وكيف يُحزم ملف DPIA وما هي الوثائق الفنية الداعمة المرفقة وما هي معايير “السير/التوقف” الداخلية. الشركات التي ترتجل ذلك تفوّت مواعيد إطلاق المنتجات بشهور. وفقاً لـ نظرة DataGuidance على الجزائر، ترسل ANPDP إشارات بموقف إنفاذ أكثر فاعلية منذ تنصيبها في أغسطس 2022 — وأصبح الانخراط الاستباقي جزءاً من تكلفة العمل المعتمد على البيانات.

4. درّب فرق المنتج والهندسة على محفزات DPIA

لا تستطيع فرق الامتثال إجراء DPIA وحدها. الإشارة بأن DPIA مطلوبة تأتي تقريباً دائماً من مدير منتج أو مهندس يضيف تدفق بيانات جديداً. تدريب لمدة 60 دقيقة يمر عبر قائمة المحفزات والنموذج ومثال حقيقي سيمنع 80% من حرائق الامتثال في المراحل المتأخرة. الاستثمار صغير؛ والبديل هو إطلاق منتج محجوز في اللحظة الأخيرة بفيتو من DPO.

قائمة فحص جاهزية الامتثال

ليس الهدف من المادة 45 مكرر 6 هو الأوراق. الهدف هو إجبار المسؤولين على التفكير — مبكراً وبشكل ملموس وعلى الورق — في كيفية تأثير معالجتهم على الأشخاص الذين تتعلق البيانات بهم. الشركات التي تعتمد هذه العقلية تجد أن DPIA تكشف عيوب تصميم كانت ستصبح خروقات أو شكاوى تنظيمية أو دعاوى جماعية.

نقطتان تركيبيتان عمليتان:

DPIA ليست حدثاً لمرة واحدة. هي قطعة فنية حية يجب إعادة زيارتها عند تغير المعالجة — فئة بيانات جديدة أو مورد جديد أو ولاية قضائية جديدة أو بنية نموذج جديدة. اجعل دورة مراجعة كل 12 شهراً جزءاً من سجل DPIA وعيّن مالكين.
DPO هو واجهة التدقيق. عند وصول ANPDP لتفتيش ميداني، DPO هو الشخص الذي يصطحب المفتش عبر سجل DPIA والنماذج وملف الاستشارة المسبقة وقرارات المخاطر المتبقية. استثمر في صلاحية DPO وتدريبه وخطوط تقاريره وفقاً لذلك.

بالنسبة للمسؤولين الذين يعملون بالفعل بموجب قانون 18-07 منذ 2018، فإن قانون 25-11 ليس ثورة — بل ترقية توثيقية. كانت قواعد المعالجة موجودة من قبل. ما تغير هو أن ملف الإثبات أصبح إلزامياً، وأن المفتشين قادرون على طلب رؤيته.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

متى يتطلب قانون 25-11 إجراء DPIA؟

تشترط المادة 45 مكرر 6 إجراء DPIA لأي معالجة “من شأنها أن تنطوي على خطر مرتفع على حقوق وحريات الأشخاص الطبيعيين”. في الممارسة، يشمل ذلك معالجة البيانات الحساسة على نطاق واسع (الصحة، البيومتريا) والمراقبة المنهجية (CCTV، الموقع الجغرافي) والتنميط والقرارات الآلية (تقييم الائتمان، فلاتر التوظيف) ومعالجة بيانات الأطفال أو المرضى والتقنيات الجديدة مثل نماذج AI/ML المدربة على بيانات شخصية. تحتفظ ANPDP بصلاحية نشر قائمتها الخاصة بعمليات DPIA الإلزامية.

ما الذي يحفز الاستشارة المسبقة لـ ANPDP بموجب قانون 25-11؟

حالتان تستوجبان على المسؤول استشارة ANPDP قبل بدء المعالجة: (1) عندما تظهر DPIA خطراً متبقياً مرتفعاً لم يتمكن المسؤول من تخفيفه، و(2) عندما تنطوي المعالجة على خطر مرتفع بسبب الآليات أو التقنيات المستخدمة — وهي عبارة جامعة تشمل عمليات نشر AI الحديثة والأنظمة البيومترية الكبرى. خطط لمهل استشارة لا تقل عن عدة أسابيع.

ماذا يتضمن ملف DPIA الجاهز لـ ANPDP؟

يحتوي ملف DPIA القابل للدفاع على وصف للمعالجة وتقييم للضرورة والتناسب وتحليل للمخاطر (احتمالية وشدة الضرر) وإجراءات تخفيف (تقنية وتنظيمية) وتقييم للمخاطر المتبقية وتوقيع DPO المكتوب وجدول مراجعة. الشركات التي تعمل بالفعل بموجب المادة 35 من GDPR يمكنها إعادة استخدام نماذجها الحالية إلى حد كبير — فقد صُمم الإطار الجزائري ليكون قابلاً للتشغيل البيني مع الممارسة الأوروبية.

—