⚡ أبرز النقاط

تمنح المادة 27 مكرر من القانون 25-11 (24 يوليو 2025) الهيئة الجزائرية لحماية البيانات، ANPDP، أقطاباً إقليمية تتولى في آنٍ واحد التدقيق ومرافقة المؤسسات التي تعالج البيانات الشخصية. وإلى جانب مسؤول حماية بيانات إلزامي، وسجلات المعالجة، ودراسات الأثر، وقاعدة الإبلاغ عن الخروقات خلال خمسة أيام، تقرّب هذه الأقطاب الهيئة من المؤسسات في جميع الولايات — مع غرامات تصل إلى 500,000 دينار جزائري عند عدم الامتثال.

الخلاصة: ينبغي على المؤسسات الجزائرية تعيين وتسجيل مسؤول حماية بيانات مؤهل، وإعداد سجل المعالجة ودراسات الأثر الآن، والتدرّب على إجراء الإبلاغ عن الخروقات خلال خمسة أيام قبل افتتاح قطب إقليمي قريب.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي

تعيد المادة 27 مكرر مباشرةً تشكيل الطريقة التي ستتفاعل بها كل مؤسسة جزائرية تعالج البيانات الشخصية مع ANPDP — بتقريب التدقيق وإرشاد الامتثال من المؤسسات في كل ولاية.
الجدول الزمني للعمل
6-12 شهراً

يُنتظَر صدور النصوص التنظيمية التي تحدّد عمل الأقطاب خلال عام 2026؛ أما الالتزامات الأساسية (DPO، السجل، دراسة الأثر، الخروقات) فهي سارية بالفعل.
أصحاب المصلحة الرئيسيون
مسؤولو حماية البيانات، مسؤولو الامتثال، مؤسسو الشركات الصغيرة والمتوسطة، مدراء أنظمة المعلومات في القطاع العام
نوع القرار
استراتيجي

الاستعداد للرقابة الإقليمية قرار حوكمة على مستوى المؤسسة بأكملها، وليس إجراءً لمرة واحدة — فهو يشكّل الأنظمة والأدوار وعقود المورّدين.
مستوى الأولوية
عالي

الالتزامات الأساسية قابلة للتطبيق فعلاً، مع غرامات تصل إلى 500,000 دينار جزائري وتعرّض جزائي، لذا لا يمكن للاستعداد أن ينتظر افتتاح الأقطاب.

خلاصة سريعة: تعامل مع الأقطاب الإقليمية كفرصة، لا كتهديد. عيّن وسجّل مسؤول حماية بيانات مؤهلاً، وابنِ الآن سجل معالجتك ودراسات الأثر لديك، واربط إجراء الإبلاغ عن الخروقات خلال خمسة أيام. وعندما يفتح قطب محلي، ستريده مستشاراً تستشيره — لا مفتّشاً يكتشف الثغرات.

إعلان

ما الذي تضيفه المادة 27 مكرر إلى خريطة حماية البيانات في الجزائر

في 24 يوليو 2025، أصدرت الجزائر القانون 25-11 المعدّل للنص المؤسِّس لحماية البيانات، وهو القانون 18-07 الصادر في 10 يونيو 2018. وإلى جانب الإضافات البارزة — مسؤول حماية بيانات إلزامي، وسجلات المعالجة، ودراسات الأثر، وقاعدة الإبلاغ عن الخروقات خلال خمسة أيام — أدرج التعديل بهدوء واحداً من أكثر أحكامه عملية بالنسبة للمؤسسات في نشاطها اليومي: المادة 27 مكرر. ووفقاً لتغطية الإذاعة الوطنية للجلسة الإعلامية لـ ANPDP، تنص المادة على أن ANPDP «مزوّدة بأقطاب إقليمية مكلّفة بالرقابة والتدقيق» — فالهيئة تملك الآن أقطاباً إقليمية مسؤولة عن رقابة وتدقيق المؤسسات العامة والخاصة التي تعالج البيانات الشخصية.

الهيئة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP)، التي جرى تنصيبها رسمياً في 11 أغسطس 2022 وأصبحت عاملة بالكامل منذ أغسطس 2023، عملت حتى الآن كجهاز مركزي واحد مقره الجزائر العاصمة. الأقطاب الإقليمية تغيّر جغرافيا الرقابة. وكما يلاحظ المحلّلون القانونيون، فإن هذه الأقطاب مصمّمة لأداء وظيفتين في آنٍ واحد: ممارسة الرقابة الإشرافية وتقديم المساعدة على الامتثال للمؤسسات. وستُحدَّد طرائق العمل — عدد الأقطاب، ومواقعها، وكيفية جدولتها للتفتيش — عبر نصوص تنظيمية لاحقة.

هذا التفويض المزدوج يستحق قراءة ثانية. فالقطب الإقليمي ليس مفتّشاً فحسب؛ بل هو أيضاً مستشار ميداني. فبالنسبة لمؤسسة في وهران أو قسنطينة أو سطيف، يعني الحضور المتاح للهيئة الفرق بين التخمين في الامتثال وسؤال موظف محلي عن الشكل الذي يبدو عليه الأداء «الجيد». يقرّب هذا الحكم قدرة الهيئة على التدقيق والإرشاد من المؤسسات الملزَمة بتطبيقه.

لماذا يُعدّ الحضور المحلي ميزة عملية

الامتثال في مجال حماية البيانات ليس إجراءً لمرة واحدة. فبموجب القانون 25-11، يجب على المسؤول عن المعالجة الاحتفاظ بسجل لأنشطة المعالجة، والاحتفاظ بسجلات آلية لكل وصول وتعديل، وإجراء دراسة أثر قبل أي معالجة حساسة، وإخطار ANPDP خلال خمسة أيام من وقوع خرق. وإتقان هذه الالتزامات أسهل بكثير عندما تكون الهيئة على بعد أمتار قليلة بدلاً من ملف في العاصمة.

يؤكّد دليل CMS المتخصّص حول القانون الجزائري لحماية البيانات أن ترسانة ANPDP الردعية واسعة: إنذارات، وإعذارات، وسحب مؤقت أو نهائي لتراخيص المعالجة، وغرامات إدارية، وأوامر بتعديل البيانات أو إغلاقها أو إتلافها. وعلى الصعيد الجزائي، تتراوح العقوبات بين شهرين وخمس سنوات سجناً، ويمكن أن تصل الغرامات إلى 500,000 دينار جزائري حسب المخالفة. توفّر الأقطاب الإقليمية للمؤسسات مساراً أقرب لحلّ أسئلتها قبل اللجوء إلى هذه الأدوات مطلقاً — ميزة جاهزية، لا تحذيراً.

وثمة بُعد سوقي أيضاً. فالوصول الإقليمي يخفّض كلفة الامتثال على المؤسسات الصغيرة والمتوسطة خارج العاصمة، التي تتحمّل تاريخياً العبء النسبي الأثقل لأي تنظيم جديد. القطب المُدار جيداً يحوّل ANPDP من جهة تنظيمية بعيدة إلى شريك يمكن الوصول إليه، وهذا بالضبط نوع بناء المؤسسات الذي يجعل اقتصاد البيانات جاذباً للاستثمار.

إعلان

ما الذي ينبغي أن تفعله المؤسسات ومسؤولو حماية البيانات الجزائريون للاستعداد للتدقيقات الإقليمية

ستحدّد الأقطاب الإقليمية جداول تفتيشها بموجب نصوص تنظيمية، لكن أعمال الامتثال التي تصمد أمام التدقيق واحدة في كل مكان. والمؤسسات التي ترى وصول قطب قريب حافزاً على الاستعداد — لا تهديداً يُخشى منه — ستكون هي التي تجتاز أول تفتيش بنجاح.

1. عيّن مسؤول حماية بيانات مؤهلاً الآن وسجّله لدى ANPDP

يجعل القانون 25-11 تعيين مسؤول حماية البيانات إلزامياً، وكما تفيد TSA بشأن الالتزام الجديد، يجب اختيار المسؤول بناءً على «معارف متخصّصة في القانون والممارسات المتعلقة بحماية البيانات» ولا يمكنه شغل منصب يتعارض مع مهامه. لا تعامل هذا التعيين كخانة تُملأ. عيّن مالكاً حقيقياً، ومنحه الاستقلالية وخط تبعية مباشراً للإدارة، وأودِع بيانات اتصاله لدى الهيئة. يمكن لمجموعة مؤسسات في القطاع ذاته، أو لوزارة ذات مديريات إقليمية، مشاركة مسؤول واحد — لكن يجب أن يمتلك الشخص فعلاً القدرة والاستقلالية اللازمتين، لا لقباً يُضاف إلى منصب مثقَل أصلاً.

2. ابنِ سجل أنشطة المعالجة قبل أن يطلبه أي قطب

تُلزم المادتان 41 مكرر 2 و41 مكرر 3 كلاً من المسؤولين عن المعالجة والمناولين بمسك سجل واضح لأنشطة المعالجة إضافة إلى سجلات آلية للوصول والتعديل والحذف، تُحفظ ورقياً أو إلكترونياً وتكون متاحة للتفتيش عند الطلب. ابدأ السجل الآن: أحصِ كل غاية من غايات المعالجة، وفئات البيانات والأشخاص المعنيين، ومدد الحفظ، والجهات المستقبِلة، وتدابير الأمن المطبّقة. السجل هو أول مستند سيطلب المدقّق الإقليمي الاطلاع عليه، وإعادة تكوينه تحت ضغط التفتيش هي بالضبط حيث تكشف المؤسسات ثغراتها. عامله كوثيقة حيّة يحدّثها مسؤول حماية البيانات لديك عند كل تشغيل لنظام أو مورّد جديد.

3. أجرِ دراسات الأثر قبل المعالجة الحساسة، لا بعد وقوع حادث

يتطلّب القانون 25-11 دراسة أثر متعلقة بحماية البيانات قبل أي معالجة عالية المخاطر أو حساسة — وهي الدراسة التي تحدّد المخاطر وتقيّم عواقبها وتضبط التدابير الأمنية المترتبة عليها. ادمج دراسة الأثر في مسار انطلاق مشاريعك بحيث لا تُشغَّل أي بيانات حساسة — صحية، أو بيومترية، أو مراقبة الموظفين، أو تنميط واسع النطاق — من دونها. دراسة الأثر المنجَزة هي في آنٍ خريطة مخاطرك ودليل عنايتك؛ وهي بالضبط ما يمكن لوظيفة الإرشاد في القطب الإقليمي مساعدتك على معايرته قبل النشر، لا تشريحه بعد شكوى.

4. اربط إجراء الإبلاغ عن الخروقات خلال خمسة أيام باستجابتك للحوادث

بموجب القانون المعدّل، يجب على المسؤول عن المعالجة إخطار ANPDP خلال خمسة أيام من اكتشاف الخرق، وإبلاغ الأشخاص المعنيين عندما يكون الخطر جسيماً. خمسة أيام مدة قصيرة. اكتب دليل الإجراءات الآن: من يعلن الحادث، ومن يجمع الوقائع، ومن يصوغ الإخطار، ومن يوقّعه. جهّز مسبقاً نموذج الإخطار واعرف أي قطب إقليمي سيكون نقطة اتصالك. تمرّن عليه مرة واحدة. المؤسسات التي تخفق في احترام هذا الأجل ليست تلك التي تفتقر إلى الأمن — بل تلك التي تفتقر إلى سلسلة قرار.

5. ارسم خريطة تدفقات البيانات العابرة للحدود واحصل على الترخيص المسبق

يتطلّب أي نقل للبيانات الشخصية إلى الخارج ترخيصاً مسبقاً من ANPDP، مع استثناءات قانونية ضيّقة. أحصِ كل تدفق يغادر البلاد — الاستضافة السحابية، وتحليلات SaaS، وتقارير المجموعة إلى شركة أم أجنبية، ومعالِجات الدفع. وقرّر لكل منها ما إن كان بإمكانك توطينه، أو ينطبق عليه استثناء، أو يجب أن تطلب ترخيصاً. إنجاز هذه الخريطة قبل التدقيق يعني أن القطب الإقليمي سيجد سياسة نقل موثّقة ومدروسة، بدلاً من تسرّب بيانات غير متتبَّع ينتظر أن يُرصَد.

أين يقع هذا في مشهد حوكمة البيانات في الجزائر لعام 2026

المادة 27 مكرر بند مقتضب بإشارة كبيرة. فهي تخبر السوق أن الجزائر تعتزم إنفاذ حماية البيانات لا من مكتب واحد، بل عبر شبكة تصل إلى الولايات — وأن الشبكة ذاتها ستساعد المؤسسات على الامتثال، لا مجرد ضبطها في الخطأ. وهذا المزج بين القرب والمرافقة هو ما يحوّل قانوناً على الورق إلى معيار ممارسة حيّ.

بالنسبة للمؤسسات الجزائرية، القراءة الاستراتيجية بسيطة: وصول قطب إقليمي هو أفضل لحظة ممكنة للاستعداد. فالمؤسسة التي لديها مسؤول حماية بيانات حقيقي، وسجل معالجة محدَّث، ودراسات أثر محفوظة، وإجراء خرق مُتمرَّن عليه، وسياسة نقل موثّقة، لا تخشى شيئاً من مدقّق قريب وتكسب كل شيء من مستشار قريب. ومع صدور النصوص التنظيمية تباعاً خلال عام 2026، فإن المؤسسات التي تتحرّك أولاً ستضع المعيار المحلي الذي يُقاس عليه الآخرون — وستكون في موقع يتيح لها التعامل مع الامتثال كأصل تجاري في اقتصاد بيانات يكافئه أكثر فأكثر.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما هي الأقطاب الإقليمية لـ ANPDP التي أنشأتها المادة 27 مكرر؟

هي أقسام إقليمية للهيئة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP)، أُدخلت بموجب المادة 27 مكرر من القانون 25-11 (24 يوليو 2025). ويُكلَّف كل قطب بوظيفتين: رقابة وتدقيق المؤسسات العامة والخاصة التي تعالج البيانات الشخصية، ومرافقة تلك المؤسسات نحو الامتثال. وستُحدَّد طرائق عملها التفصيلية بموجب نصوص تنظيمية.

متى يتعيّن على المؤسسات الجزائرية الامتثال للقانون 25-11؟

الالتزامات الأساسية — تعيين مسؤول حماية بيانات، ومسك سجل معالجة وسجلات آلية، وإجراء دراسات الأثر، والإبلاغ عن الخروقات خلال خمسة أيام — دخلت حيّز التنفيذ بنشر القانون في يوليو 2025. أما طرائق تفتيش الأقطاب الإقليمية فما زالت قيد التحديد بموجب نصوص تنظيمية خلال عام 2026، لكن ينبغي على المؤسسات أن تكون ممتثلة الآن بدلاً من انتظار افتتاح قطب قريب.

ما العقوبات المطبَّقة عند عدم الامتثال للقانون الجزائري لحماية البيانات؟

يتراوح الإنفاذ بين تدابير إدارية — إنذارات، وإعذارات، وسحب تراخيص المعالجة، وأوامر بتعديل البيانات أو إتلافها — والغرامات والعقوبات الجزائية. ويمكن أن تصل الغرامات إلى 500,000 دينار جزائري، وتتراوح العقوبات الجزائية بين شهرين وخمس سنوات سجناً، وتُضاعَف في حال العَود.

المصادر والقراءات الإضافية