ما الذي تغيّر في 2026: من الإطار إلى التطبيق
شهد المشهد الجزائري للأمن السيبراني وحماية البيانات تحولاً حاسماً خلال الـ18 شهراً الممتدة بين منتصف 2024 ومطلع 2026. ظلّ القانون 18-07 — قانون حماية البيانات الشخصية الصادر عام 2018 — لسنوات إطاراً تنظيمياً دون تطبيق متسق. هذه المرحلة انتهت.
تطوران في أواخر 2025 ومطلع 2026 عجّلا الانتقال من الامتثال الشكلي إلى المساءلة الفعلية. أولاً، القانون 25-11 (الصادر في 24 يوليو 2025) عدّل القانون 18-07 بمتطلبات أكثر صرامة: تعيين إلزامي لمسؤولي حماية البيانات لمعالجات البيانات عالية المخاطر، وإجراء تقييمات أثر رسمية للبيانات الحساسة، وسجلات المعالجة الآلية، وإلزام بالإخطار خلال 5 أيام فقط. ثانياً، المرسوم الرئاسي 26-07 (7 يناير 2026) ألزم جميع المؤسسات العامة — بما فيها المؤسسات العامة والبنوك والإدارات — بإنشاء وحدات أمن سيبراني متخصصة.
شكّلت الجلسة المهنية “يوم الامتثال والأمن السيبراني 2026″، المنعقدة في 30 أبريل 2026 بفندق Mercure بالجزائر العاصمة وتنظيم SOLTIC Algérie، منصةً لمسؤولي الامتثال والمدراء التقنيين والفرق القانونية. الاستنتاج كان واضحاً: لم يعد الامتثال مجرد التزام قانوني — بل بات ميزة تنافسية وضرورة لإدارة المخاطر.
بنية الامتثال: أربع ركائز
الركيزة 1: الحوكمة — تعيين الأشخاص المناسبين بصلاحيات حقيقية
أبرز تغيير جوهري أدخله القانون 25-11 هو اشتراط تعيين مسؤول حماية البيانات (DPO). يجب على المؤسسات المنخرطة في معالجات عالية المخاطر — بما فيها البيانات الصحية والسجلات المالية والبيانات البيومترية — تعيين مسؤول حماية بيانات موثّق الكفاءة في قانون حماية البيانات وممارساته الأمنية.
مسؤول حماية البيانات الاسمي يخرق روح القانون ونصّه على حدٍّ سواء. ANPDP، المُنشأة في أغسطس 2022 بوصفها هيئة مستقلة بمستشارين وخبراء تقنيين، تفحص الهياكل التنظيمية بصورة فعلية. ويجب أن يتمتع المسؤول بوصول مباشر للإدارة العليا، وأن يخلو من تضارب المصالح مع أدوار معالجة البيانات الأخرى، وأن يكون المحاور الرئيسي مع ANPDP.
الركيزة 2: التوثيق — بناء سجل المعالجة وبنية السجلات
حوّل القانون 25-11 التوثيق من ممارسة فضلى اختيارية إلى التزام قانوني. يتعيّن على المؤسسات الاحتفاظ بثلاث فئات من السجلات: (1) سجل أنشطة المعالجة لكل عملية على البيانات الشخصية؛ (2) سجلات العمليات الآلية للوصول إلى البيانات؛ (3) تقييمات أثر حماية البيانات (DPIA) للأنشطة عالية المخاطر.
السجل ليس تمريناً لمرة واحدة — بل وثيقة حيّة تُحدَّث مع كل تغيير في الأنظمة. كثير من المؤسسات التي بنت سجلات أولية عام 2022-2023 أهملت تحديثها بعد انتقالات السحابة أو تطويرات أنظمة إدارة العملاء. يُقاطع محققو ANPDP تدفقات البيانات المُصرَّح بها مع سجلات المراجعة التقنية؛ والتناقضات بينهما مصدر أول لإجراءات التطبيق.
الركيزة 3: الاستجابة للاختراقات — الوفاء بمهلة الإخطار في 5 أيام
مهلة الإخطار المحددة بـ5 أيام — تُحسب من لحظة علم المتحكم بالبيانات بحدوث الاختراق — هي أكثر متطلبات الإطار المحدَّث تطلباً من الناحية التشغيلية. القانون 25-11 صريح: يُخطر المعالج المتحكمَ فور الاكتشاف، ويتعين على المتحكم إخطار ANPDP خلال خمسة أيام كحد أقصى.
يستلزم هذا التسلسل الزمني وجود خطة استجابة للحوادث مكتوبة ومُختبرة ومعروفة من الموظفين المعنيين قبل وقوع الاختراق. الخطة يجب أن تحدد: من يمتلك مسؤولية الإخطار، وما الذي يُعدّ اختراقاً يستوجب الإخطار، وكيف يُصاغ الإخطار لـANPDP، وما هو مسار التصعيد الداخلي الذي يُطلق العد التنازلي. العقوبات الجنائية لمخالفات القانون 18-07 تصل إلى 5 سنوات سجناً، وقد تصل الغرامات المالية إلى 10,000,000 دينار جزائري (ما يعادل نحو 65,800 يورو).
الركيزة 4: امتثال الأطراف الثالثة والسحابة — تدقيق صارم في الموردين
الثغرة الأقل انتباهاً في الامتثال هي مخاطر الأطراف الثالثة. تسري لوائح القانون 18-07 على المتحكمين بالبيانات — لكن المعالجين العاملين لصالحهم يحملون التزامات مشتقة، والمتحكم يظل مسؤولاً عن امتثال المعالج. لمزودي خدمات السحابة العاملين في الجزائر التزام إضافي محدد: يجب أن تُخزَّن البيانات على التراب الوطني وضمان حلول النسخ الاحتياطي، وفق القانون 18-04 والأنظمة المصاحبة.
المؤسسات التي تستخدم منصات SaaS دولية للموارد البشرية أو إدارة علاقات العملاء أو العمليات المالية ملزمة بإجراء تقييمات للموردين: هل للمورد اتفاقية معالجة بيانات متوافقة مع القانون الجزائري؟ أين تُخزَّن البيانات فعلياً؟ هل تسمح آلية إخطار الاختراق من المورد إلى المؤسسة بالوفاء بمهلة الـ5 أيام لـANPDP؟
إعلان
ما يعنيه ذلك لمسؤولي الامتثال في المؤسسات الجزائرية
1. إجراء تقييم الفجوات مقابل قائمة فحص القانون 25-11 قبل الربع الثالث من 2026
أضافت تعديلات 2025 التزامات مسؤول حماية البيانات وتقييمات الأثر والسجلات قد لا تنعكس في برامج الامتثال المبنية قبل يوليو 2025. ينبغي تشغيل تقييم منهجي للفجوات يرصد الوضع الحالي مقابل كل التزام من التزامات القانون 25-11، مع الأولوية لـ: وضع تعيين مسؤول حماية البيانات، وحداثة سجل المعالجة، واكتمال تقييمات الأثر للأنظمة عالية المخاطر، ووجود خطة استجابة للاختراقات مع تاريخ آخر اختبار.
2. محاكاة تمرين إخطار الاختراق وفق جداول ANPDP الزمنية
لا يمكن التعامل مع مهلة الإخطار البالغة 5 أيام على أنها نظرية. ينبغي إجراء تمرين محاكاة يحاكي اكتشاف اختراق يطال بيانات شخصية — وقياس المدة التي تستغرقها العملية الحالية من الاكتشاف حتى استكمال نموذج الإخطار لـANPDP. تكتشف معظم المنظمات أنها تحتاج 2-3 أسابيع لمهمة تفرضها القوانين في 5 أيام.
3. التعامل مع DZ-CERT و ANSSI كشركاء لا مجرد سلطات
يوفر كل من DZ-CERT (التابع لـCERIST) و ANSSI قنوات مساعدة تقنية يمكن للمؤسسات الوصول إليها بصورة استباقية. ينشر DZ-CERT تحذيرات الثغرات والتوجيهات؛ وتشرف ANSSI على الامتثال للمرسوم 20-05. إرساء علاقة تواصل مع هذه الجهات قبل وقوع أي حادثة يخلق ديناميكية تعاونية تختلف جوهرياً عن الانخراط التفاعلي في خضم إجراءات التطبيق.
الدرس الهيكلي: الامتثال كبنية تحتية تنافسية
المشهد التنظيمي الذي تواجهه المؤسسات الجزائرية في 2026 ليس استثنائياً بالمعايير الدولية — بل يشبه إلى حدٍّ بعيد المسار الذي سلكته الشركات الأوروبية بعد دخول اللائحة العامة لحماية البيانات (GDPR) حيز التنفيذ عام 2018. ما يميّزه هو وتيرة تفعيل التطبيق: انتقلت الجهات التنظيمية الجزائرية من التأسيس إلى الإشراف الفعلي في نحو 3 سنوات.
المؤسسات التي تتعامل مع الامتثال للقانون 18-07 والمرسوم 26-07 باعتباره شهادة تُكتسب لمرة واحدة ستتكبد تكاليف متكررة مع كل تحديث تنظيمي. أما تلك التي تبني الامتثال كبنية تحتية — مدمج في اختيار الموردين، وتصميم الأنظمة، ومعايير التوظيف لمسؤولي حماية البيانات، والاستجابة للحوادث — فتجد أن التكلفة الهامشية لكل متطلب تنظيمي جديد تنخفض بصورة ملحوظة.
الأسئلة الشائعة
من الملزم بتعيين مسؤول حماية البيانات بموجب القانون 25-11 الجزائري؟
المؤسسات المنخرطة في معالجات البيانات الشخصية عالية المخاطر ملزمة بتعيين مسؤول حماية بيانات بموجب القانون 25-11 (يوليو 2025). تشمل المعالجات عالية المخاطر: التنميط المنهجي، والمعالجة الواسعة النطاق للبيانات الحساسة (الصحية والمالية والبيومترية)، ونقل البيانات عبر الحدود. يجب أن يمتلك المسؤول خبرة في قانون حماية البيانات وألا يشغل دوراً متعارضاً داخل المنظمة ذاتها. ANPDP هي الجهة التنفيذية.
ما هو أجل الإخطار بالاختراق وكيف يُحسب؟
بموجب القانون 25-11، يتعين على المتحكم بالبيانات إخطار ANPDP في أجل أقصاه خمسة أيام من تاريخ علمه باختراق البيانات الشخصية. يُخطر المعالجون المتحكمَ فور الاكتشاف. يبدأ العد التنازلي للـ5 أيام من اللحظة التي يُوثَّق فيها العلم بالاختراق — لا من لحظة وقوعه. هذا يستلزم خطة استجابة للحوادث موثقة ومختبرة مسبقاً.
كيف يؤثر المرسوم الرئاسي 26-07 على مؤسسات القطاع الخاص؟
يُوجب المرسوم 26-07 (7 يناير 2026) مباشرةً وحدات أمن سيبراني في المؤسسات العامة، بما فيها المؤسسات العامة والبنوك الحكومية. الشركات الخاصة والبنوك الأجنبية العاملة في الجزائر غير مُلزَمة مباشرةً بهذا المرسوم، لكنها تواجه التزامات معادلة عبر علاقات مشاركة البيانات مع عملاء القطاع العام وعبر إطار القانون 18-07 / القانون 25-11. ينبغي للشركات الخاصة المقدِّمة لخدمات للمؤسسات العامة أن تعتبر متطلبات المرسوم 26-07 توقعاً تعاقدياً وسمعاتياً.
المصادر والقراءات الإضافية
- تعزيز الإطار السيبراني في الجزائر — TechAfrica News
- دليل CMS: قوانين حماية البيانات والأمن السيبراني — الجزائر
- يوم الامتثال والأمن السيبراني 2026 — SOLTIC Algérie
- تحليل الاستراتيجية الوطنية للأمن السيبراني 2025–2029 — AlgeriaTech
- M-Trends 2026 من Mandiant: تسليم الوصول في 22 ثانية — Help Net Security
🔗 مقالات ذات صلة
فجوة كوادر مسؤولي الأمن في الجزائر: قيادة أمن القطاع الخاص في ظل المرسوم 26-07
بعد يوم الامتثال والأمن السيبراني في الجزائر: ما يجب على المؤسسات فعله الآن
الاستجابة لاختراق بيانات المؤسسات الحكومية: دليل تشغيلي للمؤسسات العامة الجزائرية
القانون الجزائري 25-11: دليل الامتثال المتوافق مع GDPR لكل مؤسسة
