ما الذي يغيّره القانون 25-11 على صعيد تدفقات البيانات عبر الحدود
يسري الإطار الجزائري لحماية البيانات الشخصية منذ صدور القانون 18-07 في يونيو 2018. يُطبَّق هذا القانون على كل كيان عام أو خاص يجمع أو يخزن أو يعالج بيانات شخصية باستخدام وسائل مُوجودة في الجزائر — مما يشمل شركات SaaS العاملة في البلاد، ومنصات التقنية المالية المعالِجة لبيانات الدفع، وشركات الاتصالات المُديرة لأنظمة مرتبطة بالمشتركين. وتخضع لهذه الأحكام أيضاً الجهات التحكمية الأجنبية التي لديها مستخدمون جزائريون، وعليها تعيين ممثل محلي.
القانون رقم 25-11 الصادر في يوليو 2025 يُحدِّث إطار 2018 على عدة أصعدة متزامنة: يُلزم بتعيين مسؤول حماية البيانات (DPO)، ويُدخل تحليلات أثر حماية البيانات (DPIAs) إلزامية للمعالجة عالية المخاطر، ويُشدّد متطلبات إخطار الاختراقات (5 أيام للإخطار). لكن التغيير الأكثر أثراً تشغيلياً على الشركات ذات الاعتمادية السحابية الدولية يتعلق بفصل النقل عبر الحدود.
تستلزم ثلاث فئات من عمليات النقل الآن تحليلاً دقيقاً:
- النقل إلى وجهات “كافية” — مسموح به دون إذن منفصل من ANPDP، لكن يجب توثيق أساس الكفاية في سجل المعالجة.
- النقل إلى وجهات “غير كافية” — يستلزم إذناً مسبقاً من ANPDP ما لم تنطبق إحدى الاستثناءات المحدودة قانوناً (التزام قانوني، مصلحة حيوية، تنفيذ عقد، إجراءات قضائية).
- النقل الذي يُهدّد الأمن الوطني أو المصالح الوطنية الحيوية — محظور حظراً مطلقاً أياً كانت التصاريح.
يقع العبء العملي بشكل رئيسي على الشركات الجزائرية التي تستخدم منصات سحابية أمريكية المقر (AWS وAzure وGoogle Cloud) لمعالجة البيانات الشخصية، وعلى الشركات التي تدمج أدوات SaaS أوروبية تعالج بيانات المشتركين الجزائريين على بنية تحتية أوروبية.
إجراءات الترخيص في ANPDP: ما تفعله الشركات فعلياً
تُميّز ANPDP بين مسارَين:
مسار التصريح: يغطي معالجة البيانات الشخصية القياسية التي لا تستوفي معايير المخاطر العالية. يُودع المتحكم تصريحاً عبر البوابة الإلكترونية لـ ANPDP، موصِّفاً النشاط ومستوى المعالجة والمستفيدين. تُسجّل ANPDP التصريح وتُصدر إيصالاً. لا يوجد وقت انتظار قبل بدء النشاط.
مسار الترخيص: مطلوب للمعالجة عالية المخاطر — المُعرَّفة بأنها تنطوي على بيانات حساسة (صحية أو بيومترية أو مالية)، أو نقل دولي إلى دول غير كافية، أو ربط الملفات لأغراض عامة مختلفة. يُقدّم المتحكم ملفاً كاملاً للترخيص يشمل: سجل الشركة، ودراسة تأثير حماية البيانات (DPIA)، ورسم خرائط تدفق البيانات، ووصف الضمانات. تُصدر ANPDP إذناً كتابياً قبل أن يبدأ نشاط المعالجة.
إعلان
ما الذي يعنيه ذلك لشركات التكنولوجيا الجزائرية
1. رسِّم كل اتفاقية معالجة بيانات تتضمن جهة معالجة أجنبية
الإجراء الأول للامتثال هو مخزون تدفق البيانات عبر الحدود. يعني ذلك لمعظم شركات SaaS والتقنية المالية الجزائرية مراجعة كل أداة وتكامل API وخدمة سحابية حيث تُرسَل البيانات الشخصية — أسماء العملاء وبيانات الاتصال وبيانات الدفع والمعلومات الصحية — إلى بنية تحتية خارج الجزائر أو تُخزَّن فيها. يجب أن يُغطي المخزون: اسم جهة المعالجة، وبلد إقامتها، وفئات البيانات المنقولة، والغرض، ومدى وجود اتفاقية معالجة بيانات.
2. قيّم وضع الكفاية لكل دولة مستقبِلة
يجب تقييم كل دولة مستقبِلة مقارنةً بموقف الكفاية الحالي لـ ANPDP. للدول غير المدرجة في قائمة الكفاية الخاصة بـ ANPDP (بما فيها الولايات المتحدة حتى منتصف 2025)، يستلزم النقل إما إذناً مسبقاً من ANPDP وإما الاستناد إلى أحد الاستثناءات القانونية. لا ينبغي للشركات افتراض أن شهادة ISO 27001 أو الامتثال لمعيار SOC 2 لجهة المعالجة يُشكّل كفاية — فالشهادة التقنية والكفاية القانونية مفهومان مستقلان.
3. قدِّم طلبات الترخيص إلى ANPDP لجهات المعالجة الأمريكية وغيرها من الدول غير الكافية قبل انتهاء فترة السماح
الشركات التي تنقل حالياً بيانات شخصية إلى جهات معالجة في دول غير كافية دون ترخيص تقع في وضع عدم امتثال تقني. لا تُحدّد ANPDP فترة سماح رسمية للعلاقات المعالِجة القائمة. ينبغي للشركات التي تعتمد على تسامح غير رسمي تقديم طلبات ترخيص للتدفقات الأكثر أهمية على سبيل الأولوية.
4. حدِّث العقود مع موردي SaaS والسحابة الأجانب
يُلزم القانون 25-11 بأنه عند معالجة البيانات الشخصية من قِبَل جهة معالجة طرف ثالث (بما فيها جهة أجنبية)، يجب أن يحتفظ المتحكم باتفاقية معالجة بيانات مكتوبة تُحدّد الغرض وفئات البيانات والتدابير الأمنية والتزامات جهة المعالجة. يجب على الفرق القانونية وفرق المشتريات تحديد عقود الموردين الأجانب التي تحتاج إلى تعديل وفتح دورات إعادة تفاوض.
على ماذا يُركّز اهتمام ANPDP في التطبيق
استهدف أول دورة تفتيش ميداني لـ ANPDP، المُعلَن عنها في فبراير 2024، الكيانات القطاع العام والشركات الخاصة الكبرى في قطاعات الاتصالات والمصارف والتأمين. يُتوقَّع أن تشمل المرحلة الثانية الممتدة حتى 2026 الشركات الخاصة متوسطة الحجم والشركات التقنية، ولا سيما تلك التي تمتلك تدفقات بيانات دولية.
تتراوح العقوبات الجزائية المنصوص عليها في القانون 18-07 — المُعزَّزة بالقانون 25-11 — بين شهرَين وخمس سنوات سجناً وغرامات من 20000 إلى 1000000 دينار. المسار الإداري يشمل التحذيرات والإنذارات الرسمية وتعليق أو سحب إذن المعالجة.
الأسئلة الشائعة
س: هل تحتاج الشركات الجزائرية التي تستخدم Google Workspace أو Microsoft 365 إلى ترخيص من ANPDP؟
تعالج هذه المنصات البيانات على بنية تحتية جزء منها في الاتحاد الأوروبي وجزء في الولايات المتحدة. بما أن الولايات المتحدة لا تُدرج في قائمة الكفاية الخاصة بـ ANPDP، فإن المكوّن الأمريكي لمعالجة هذه الخدمات يندرج ضمن مسار الترخيص لأي بيانات شخصية جرت معالجتها.
س: ما الذي يُشكّل “مصلحة وطنية حيوية” تحظر النقل حظراً مطلقاً؟
لا يُقدّم القانون 18-07 والقانون 25-11 تعريفاً دقيقاً. يُفسَّر الحظر على نطاق واسع: عمليات النقل التي قد تُعرِّض البيانات الشخصية للمواطنين الجزائريين للوصول الحكومي الأجنبي بطرق تُضرّ بالأمن الوطني أو النظام العام أو سلامة البنية التحتية الحيوية.
س: هل يمكن للشركة البدء في نقل البيانات بينما طلب الترخيص قيد المراجعة لدى ANPDP؟
لا. يستلزم مسار الترخيص الحصول على إذن كتابي مسبق قبل بدء نشاط المعالجة. يجب على المتحكمين الحصول على موافقة ANPDP الكتابية قبل الشروع في أي معالجة تندرج في فئة المخاطر العالية/العابرة للحدود.
