La Loi Algérienne sur la Protection des Données Vient de Prendre de la Substance : Ce Qui A Changé en 2025
La loi algérienne n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel a établi le cadre fondateur : l’ANPDP, les déclarations obligatoires, les autorisations pour les données sensibles et les règles relatives aux transferts transfrontaliers. Pendant trois ans après que l’ANPDP est devenue opérationnelle — elle a désigné son président et ses membres le 11 août 2022 — la plupart des entreprises ont traité la conformité comme un simple exercice d’enregistrement.
La loi n° 11-25, adoptée par le Parlement algérien en juillet 2025, change cette posture de manière significative en trois points. Premièrement, elle rend la désignation d’un Délégué à la Protection des Données (DPO) obligatoire pour toutes les organisations traitant des données personnelles à grande échelle. Deuxièmement, elle introduit des Analyses d’Impact relatives à la Protection des Données (AIPD) obligatoires pour les activités de traitement à haut risque. Troisièmement, elle exige que les organisations tiennent des registres détaillés de toutes leurs activités de traitement — un registre que l’ANPDP peut demander lors d’une inspection.
Le signal d’application était déjà présent avant la nouvelle loi. En février 2024, l’ANPDP a annoncé sur son site officiel qu’elle commençait ses premières inspections de terrain des entreprises du secteur privé, examinant les procédures de traitement avant d’étendre le programme. Cette annonce a marqué un passage d’une approche purement déclarative à une posture d’audit active. Les amendements de 2025 donnent aux inspecteurs davantage de base juridique.
Les Trois Nouvelles Obligations de la Loi 11-25
Désignation du DPO — Qui en a Besoin et Quel Est Son Rôle
En vertu de la loi 11-25, les organisations doivent désigner un DPO et communiquer à l’ANPDP ses coordonnées. Le DPO sert d’interface principale entre l’organisation et l’autorité, est responsable du suivi de la conformité interne et agit comme point de contact pour les personnes exerçant leurs droits (accès, rectification, effacement).
Un DPO n’a pas besoin d’être un employé à plein temps. La fonction peut être confiée à un responsable de conformité, juridique ou de sécurité informatique sénior existant — à condition qu’il n’ait pas de conflit d’intérêts avec les activités de traitement qu’il supervise. Pour les petites organisations, la fonction de DPO peut être externalisée à un consultant externe qualifié.
AIPD — Le Portail Avant le Lancement de Produits à Haut Risque
Une AIPD est une évaluation structurée des risques qu’une organisation doit réaliser avant de lancer toute activité de traitement susceptible d’engendrer un risque élevé pour les droits des personnes. La loi 11-25 définit les catégories à haut risque comme incluant le profilage systématique à grande échelle, le traitement de données sensibles (santé, biométrie, finances) et les activités impliquant une prise de décision automatisée à grande échelle.
Registre des Traitements — Le Fondement de l’Audit
La loi 11-25 exige que les organisations tiennent un registre détaillé de toutes les activités de traitement des données personnelles. Ce registre doit consigner : les catégories de données personnelles traitées, les finalités, la base juridique, les durées de conservation, les personnes y ayant accès et les éventuels transferts hors d’Algérie.
Publicité
Ce que Cela Signifie pour les Entreprises Tech Algériennes
1. Désignez Votre DPO au 2e Trimestre 2026 — N’Attendez Pas une Mise en Demeure
Le programme d’inspection de l’ANPDP est actif. Février 2024 a marqué le début des inspections de terrain. Les entreprises qui reçoivent un avis d’inspection sans DPO désigné se trouvent immédiatement en position de non-conformité. Les coordonnées du DPO doivent être communiquées à l’ANPDP via son portail en ligne anpdp.dz — une démarche en une étape.
2. Cartographiez Vos Traitements Avant de Construire le Registre
Un registre des traitements bâti à partir de la question « quelles données détenons-nous ? » produit un document incomplet. La bonne méthodologie est un audit des flux de données : en partant du niveau des systèmes (bases de données, CRM, plateformes d’analyse, SDK d’applications mobiles, passerelles de paiement), tracez ce que chaque système ingère et exporte, puis catégorisez chaque flux par type de données, base juridique et durée de conservation. Cet audit prend deux à quatre semaines pour une entreprise de 20 à 50 employés.
3. Filtrez les Nouvelles Fonctionnalités Produit pour Identifier les Déclencheurs d’AIPD Avant le Développement
Une AIPD est moins coûteuse à réaliser avant qu’une fonctionnalité soit construite qu’après sa mise en ligne. La liste de contrôle des déclencheurs est simple : cette fonctionnalité traite-t-elle des données de santé, financières ou biométriques ? Construit-elle des profils comportementaux sur plus de 1 000 utilisateurs ? Utilise-t-elle une prise de décision automatisée affectant l’accès aux services ? Si oui à l’une de ces questions, une AIPD est requise en vertu de la loi 11-25.
4. Examinez vos Sous-Traitants — Tous les Éditeurs de SDK ne Sont pas Conformes à l’ANPDP
Le cadre algérien de protection des données exige que les transferts de données hors d’Algérie — y compris vers des services cloud, des outils SaaS d’analyse et des réseaux publicitaires — disposent d’une autorisation de l’ANPDP ou satisfassent à des conditions d’adéquation spécifiques. De nombreuses startups algériennes utilisent Firebase, Mixpanel ou des outils internationaux similaires sans réaliser que les flux de données vers ces plateformes peuvent constituer un transfert transfrontalier non autorisé.
5. Intégrez la Notification de Violation dans Votre Plan de Réponse aux Incidents
La loi 11-25 et la loi 18-07 sous-jacente exigent la notification à l’ANPDP dans les 5 jours suivant la découverte d’une violation de données personnelles. C’est une fenêtre serrée que la plupart des organisations ne peuvent pas respecter sans processus prédéfini. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées pour y remédier.
Construire une Culture de Conformité, Pas Seulement un Dossier de Conformité
L’approche de l’ANPDP en matière d’application — inspections de terrain des entreprises du secteur privé, programmes d’inspection formels annoncés via le site de l’autorité — indique une trajectoire vers une surveillance active, pas une simple inscription passive.
Le cadre le plus solide est organisationnel : la protection des données personnelles est une dimension de qualité des produits numériques. L’exemple de Singapore Personal Data Protection Commission est parlant : les entreprises qui avaient investi dans des pratiques de protection de la vie privée dès la conception ont fait face à une perturbation minimale lors des actions d’application en 2023-2024, tandis que celles qui ne l’avaient pas fait ont été exposées à la fois à des risques réglementaires et à des dommages réputationnels.
Pour les entreprises algériennes en 2026, la fenêtre de conformité est encore ouverte. Les cinq étapes ci-dessus sont réalisables en un trimestre et constituent une posture de conformité complète en vertu de la loi 11-25.
Sources et lectures complémentaires
- Mise en Place de l’ANPDP — Cabinet Gide
- Loi Algérienne sur la Protection des Données 18-07 — Guide CMS Expert
- DPA Digital Digest Algérie 2025 — Digital Policy Alert
- Loi Algérienne de Protection des Données 18-07 et Amendements — CookieYes
- La Loi Algérienne de Protection des Données Entre en Vigueur — LexAfrica
Foire aux Questions
Qui doit exactement nommer un DPO selon la loi algérienne 11-25 ?
La loi 11-25 exige la nomination d’un DPO pour toutes les organisations qui traitent des données personnelles comme activité principale à grande échelle. Cela inclut : les entreprises de plus de 250 employés traitant des données employés ; les organisations traitant des données sensibles (santé, biométriques, casier judiciaire) quelle que soit leur taille ; les autorités publiques traitant des données citoyennes ; et toute organisation fournissant des services numériques aux consommateurs.
Quelles sont les fonctions obligatoires du DPO sous la loi 11-25 ?
Le DPO doit : maintenir le registre des activités de traitement de l’organisation ; conseiller sur les Analyses d’Impact relatives à la Protection des Données (AIPD) pour les activités à haut risque ; servir de liaison principale avec l’ANPDP pour les inspections et notifications de violations ; surveiller la conformité ; et former le personnel. Le DPO ne peut être sanctionné pour l’exercice de bonne foi de ces fonctions.
Que se passe-t-il lors d’une inspection de terrain de l’ANPDP et comment une organisation doit-elle se préparer ?
Les inspecteurs ANPDP demandent généralement : le registre des activités de traitement (doit être à jour et signé par le DPO) ; la documentation de la procédure de notification des violations ; et la preuve de nomination du DPO. Les organisations disposant de ces documents peuvent généralement conclure une inspection en 2-3 heures sans incident.
