Le moment réglementaire pour lequel la plupart des entreprises privées ne sont pas prêtes
La législation algérienne sur la cybersécurité s’est historiquement concentrée sur les institutions publiques et les opérateurs d’infrastructures critiques. Le décret présidentiel n° 26-07, signé en janvier 2026, continue dans cette direction — mandatant que tous les systèmes d’information étatiques établissent des unités de cybersécurité dédiées, désignent des RSSI et s’alignent sur les cadres supervisés par l’Agence de Sécurité des Systèmes d’Information (ASSI). Pour une équipe IT du Ministère des Finances ou un opérateur télécom d’État, ce décret a des conséquences opérationnelles directes et immédiates.
Pour une entreprise algérienne du secteur privé — une plateforme d’e-commerce, une fintech, un cabinet comptable, un logisticien — la portée juridique directe du décret est limitée. Mais l’écosystème qu’il a accéléré ne l’est pas. La loi n° 25-11 sur la protection des données personnelles, promulguée en 2023 et désormais activement appliquée par l’ANPDP nouvellement habilitée, impose des obligations explicites de notification de violation à tous les responsables de traitement et sous-traitants opérant en Algérie, quel que soit le secteur ou le mode de propriété.
L’écart entre obligation légale et préparation organisationnelle est frappant. Les sanctions algériennes pour non-conformité sont substantielles : amendes de 5 000 à 10 millions DZD et emprisonnement de 2 mois à 10 ans selon l’infraction et l’intention. Les 72 premières heures après la découverte d’une violation sont les plus déterminantes — pour le confinement, la conformité réglementaire et la préservation des preuves.
Ce que la loi exige réellement des entreprises privées
Avant le playbook opérationnel, le cadre juridique doit être compris avec précision. Trois instruments créent des obligations pour les organisations privées algériennes après un incident de cybersécurité.
Loi n° 25-11 (Protection des données personnelles) : Les responsables de traitement doivent notifier l’ANPDP dans les 5 jours suivant la prise de connaissance d’une violation de données personnelles. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’enregistrements de données personnelles concernés, les conséquences probables de la violation, et les mesures prises ou proposées pour y remédier. Les sous-traitants doivent notifier le responsable de traitement « dès qu’ils en ont connaissance », sans délai de grâce.
Loi n° 09-04 (Infractions informatiques) : Cette loi criminalise l’accès non autorisé aux systèmes d’information, l’obstruction au traitement automatisé de données et l’introduction ou la modification frauduleuse de données. Elle s’applique non seulement aux attaquants mais aussi aux organisations qui ne signalent pas les incidents ou qui prennent des actions (ou des inactions) susceptibles d’être interprétées comme facilitant la poursuite d’un accès non autorisé.
Décret présidentiel n° 20-05 et le cadre ASSI : ASSI a une autorité de supervision sur les incidents affectant les systèmes classifiés comme infrastructures d’information critiques. Les entreprises privées opérant dans des secteurs désignés comme critiques — banque, énergie, santé, télécommunications — ont des obligations de signalement à ASSI en plus de l’ANPDP.
Publicité
Ce que les équipes du secteur privé algérien doivent faire dans les 72 premières heures
1. Détecter, confiner et préserver les preuves (Heures 0–6)
La première action lors de la découverte d’une violation potentielle est l’isolation, pas l’investigation. Déconnectez les systèmes compromis du réseau — ne les éteignez pas, car un système en cours d’exécution conserve la mémoire volatile (RAM) qui peut contenir des outils d’attaquant, des clés de chiffrement et des connexions réseau actives. Un arrêt détruit ces preuves forensiques. Préservez tous les journaux pertinents avant toute modification du système : journaux de pare-feu, journaux d’authentification, journaux de serveur de messagerie et journaux d’accès aux applications pour la période de 30 jours précédant la découverte.
Documentez l’horodatage exact de la découverte, qui l’a découverte et les indicateurs initiaux (connexion inhabituelle, note de rançon, dégradation des performances, signalement client). Cet horodatage est l’ancre juridique pour votre délai de notification ANPDP de 5 jours en vertu de la loi 25-11.
2. Évaluer la portée et déterminer si des données personnelles sont impliquées (Heures 6–24)
Tous les incidents de sécurité ne déclenchent pas une obligation de notification légale — uniquement ceux impliquant des données personnelles (en vertu de la loi 25-11) ou des infrastructures critiques (sous la supervision ASSI). L’évaluation de la portée répond à trois questions : Quels systèmes ont été accédés ? Quelles données ces systèmes contenaient-ils ? Ces enregistrements de données sont-ils des données personnelles au sens de la loi 25-11 ?
La loi algérienne 25-11 définit les données personnelles au sens large : toute information pouvant directement ou indirectement identifier une personne physique, y compris les noms, numéros de carte d’identité nationale, dossiers médicaux, données financières, données de localisation et identifiants en ligne. Si le système compromis contenait une base de données clients, un dossier RH d’employé ou tout enregistrement associant une personne à un service, l’incident est une violation de données personnelles et le délai de notification de 5 jours court.
3. Notifier l’ANPDP et les parties concernées dans les 5 jours (Heures 24–120)
La notification ANPDP ne nécessite pas de certitude sur la portée complète de la violation — la loi 25-11 permet explicitement aux organisations de fournir des informations « par phases » si le tableau complet n’est pas encore disponible au moment de la notification initiale. Attendre que l’enquête forensique soit terminée avant de notifier est l’erreur de conformité la plus courante — et c’est celle qui crée la plus grande responsabilité réglementaire et pénale.
La notification initiale à l’ANPDP doit inclure : la date et l’heure de la découverte, la nature suspectée ou confirmée de la violation (ransomware, accès non autorisé, exposition accidentelle), les catégories estimées de données impliquées, le nombre estimatif de personnes potentiellement concernées, et les étapes de confinement immédiat déjà prises. Si la violation est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques — exposition de données financières, dossiers médicaux ou numéros de carte nationale — la loi 25-11 exige également la notification directe aux personnes concernées « sans retard injustifié ».
4. Assurer la continuité des activités et gérer les communications avec les parties prenantes (Heures 0–72, piste parallèle)
Le confinement et la notification légale sont les pistes primaires, mais une troisième piste parallèle — les communications avec les parties prenantes — doit s’exécuter simultanément. Notifiez votre conseil juridique dans les 6 premières heures. Notifiez votre assureur cyber (si vous en avez un) dans les 24 heures ; la plupart des polices exigent une notification rapide.
Pour les entreprises avec des clients enterprise qui leur confient des données (sous-traitants en vertu de la loi 25-11), notifiez ces clients immédiatement — « dès qu’ils en ont connaissance » est le standard légal. N’attendez pas le rapport forensique complet. Un sous-traitant qui retarde la notification client de 48 heures en conduisant sa propre investigation a violé la loi 25-11 et presque certainement son propre accord de service.
La leçon structurelle
Le cadre juridique algérien de cybersécurité a atteint un niveau de maturité opérationnelle que la plupart des organisations du secteur privé n’ont pas intériorisé. L’exigence de notification ANPDP en 5 jours n’est pas aspirationnelle — elle est exécutoire, avec un filet pénal dans la loi n° 09-04. Les organisations qui traitent la planification de réponse aux incidents comme une pratique optionnelle de l’ère 2024 opèrent désormais dans un environnement réglementaire 2026 où « nous ne savions pas quoi faire » n’est pas une défense.
L’exigence pratique est un plan de réponse aux incidents documenté — un document de 5 à 10 pages nommant l’équipe de réponse aux incidents, définissant les chemins d’escalade, listant les contacts de notification réglementaire et les délais, et spécifiant les étapes de confinement pour les scénarios de violation courants. Ce document doit être revu trimestriellement et testé par exercice sur table au moins une fois par an.
ASSI a publié des matériaux de référence pour la réponse aux incidents alignés sur le cadre réglementaire algérien. Le centre national de réponse aux urgences informatiques DZ-CERT accepte les signalements d’incidents et fournit une assistance technique aux organisations du secteur privé confrontées à des intrusions actives. Engager DZ-CERT tôt — même avant que la portée complète d’un incident ne soit connue — est à la fois opérationnellement précieux et démontre une coopération réglementaire de bonne foi.
Questions Fréquemment Posées
Q : L’exigence de notification ANPDP de 5 jours s’applique-t-elle à tous les types d’incidents de sécurité ?
Non — uniquement les incidents impliquant des données personnelles au sens de la loi 25-11. Une attaque par ransomware sur un serveur contenant uniquement des projections financières internes (pas de données personnelles) ne déclenche pas la notification ANPDP. Une attaque par ransomware sur un serveur contenant des noms de clients, des adresses e-mail ou des enregistrements de paiement déclenche l’obligation de 5 jours. L’évaluation de la portée dans les heures 6–24 détermine quel régime s’applique.
Q : Que se passe-t-il si nous manquons le délai de notification ANPDP de 5 jours ?
Manquer le délai ne déclenche pas automatiquement des poursuites, mais crée une exposition réglementaire qui croît avec le retard. Documentez les raisons de tout retard par écrit — complexité du système, persistance des attaquants, disponibilité du cabinet forensique — et soumettez la notification tardive avec une explication détaillée. L’auto-signalement tardif est toujours traité plus favorablement que le non-signalement découvert par des tiers.
Q : Devons-nous engager DZ-CERT ou une société de réponse aux incidents privée en premier ?
Les deux, idéalement en parallèle. DZ-CERT fournit une assistance technique gratuite et une coordination d’incidents pour les entités algériennes, et l’engager tôt démontre une bonne foi réglementaire. Une société de réponse aux incidents privée fournit la confidentialité contractuelle, la rapidité et la profondeur d’outillage forensique que les contraintes de ressources de DZ-CERT peuvent ne pas égaler pour les incidents importants ou complexes. DZ-CERT est plus utile pour le partage de renseignements sur les menaces et la coordination avec ASSI ; la société privée est plus précieuse pour le confinement technique et la collecte de preuves.
—
Sources et lectures complémentaires
- L’Algérie renforce son cadre de cybersécurité pour protéger l’infrastructure nationale — TechAfrica News
- Réglementations de cybersécurité en Algérie : conformité, reporting et pénalités — Generis Online
- Algérie : Protection des données et lois sur la cybersécurité — CMS Law
- Algérie — Portail des politiques cyber — UNIDIR
- Guide de réponse aux incidents OWASP — OWASP
