ANPDP 2026: دليل الاستعداد للتدقيق في الجزائر

نُشر في مايو 17, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

انتقلت ANPDP الجزائرية من التوعية إلى التطبيق: بدأت التفتيشات الميدانية للشركات الخاصة في مطلع 2024، وأضاف القانون 25-11 التزامات DPO وDPIA وسجلات المعالجة في يوليو 2025، وتسريع التطبيق عبر أفريقيا يجعل وتيرة التفتيش الجزائرية قابلة للتنبؤ.

الخلاصة: الشركات في الخدمات المالية والرعاية الصحية والتجارة الإلكترونية والتوظيف هي الأهداف الأوفر احتمالاً للموجة الأولى. أكمل قائمة التحقق المكونة من 9 نقاط — التسجيل وجرد المعالجة وتعيين DPO وتقييم DPIA موثق واحد على الأقل — قبل وصول أول خطاب تدقيق.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الصلة بالجزائر
مرتفعة
▾

القانون 25-11 ساري؛ التفتيشات الميدانية جارية؛ الغرامات تصل إلى 1,000,000 دينار جزائري

الأفق الزمني للعمل
فوري
▾

يجب استكمال قائمة التحقق المكوّنة من 9 نقاط قبل الربع الثالث من 2026

أصحاب المصلحة الرئيسيون
مدراء قانونيون/امتثال، مدراء موارد بشرية، مدراء تقنية/منتجات في أي شركة تعالج بيانات جزائرية شخصية

نوع القرار
تكتيكي
▾

Assessment: تكتيكي. Review the full article for detailed context and recommendations.

مستوى الأولوية
حرج
▾

Assessment: حرج. Review the full article for detailed context and recommendations.

خلاصة سريعة: انتقلت ANPDP من التوعية إلى التطبيق: بدأت التفتيشات الميدانية للشركات الخاصة في مطلع 2024، وأضاف القانون 25-11 التزامات DPO وDPIA وسجلات المعالجة في يوليو 2025. الشركات في الخدمات المالية والرعاية الصحية والتجارة الإلكترونية والتوظيف هي الأهداف الأوفر احتمالاً للموجة الأولى. أغلق فجوة الامتثال الآن — التسجيل، وجرد المعالجة، وتعيين DPO، وتقييم DPIA موثق واحد على الأقل — قبل وصول أول خطاب تدقيق.

من حملة التوعية إلى التفتيش الميداني

يسير مسار ANPDP وفق نمط مألوف لدى ممارسي الامتثال الذين تابعوا تطبيق اللائحة الأوروبية العامة لحماية البيانات (GDPR) في أوروبا: مرحلة توعية متعددة السنوات، تليها حملات تسجيل طوعية، ثم أولى التفتيشات الميدانية المستهدفة التي تُشير إلى أن الجهة التنظيمية تعتزم استخدام صلاحياتها. دخلت الجزائر مرحلة التفتيش الميداني في فبراير 2024، حين أعلنت ANPDP رسمياً أنها ستبدأ فحص إجراءات معالجة شركات القطاع الخاص — التزام يجعل عام 2026 أول دورة تطبيق كاملة في ظل الإطار المحدَّث للقانون 25-11.

وفقاً لدليل CMS الخبير حول قانون حماية البيانات الجزائري، باتت ANPDP مُخوَّلة بالاستناد إلى فروع إقليمية مخصصة لأنشطة التفتيش والتدقيق، مما يوسع نطاق تطبيقها خارج الجزائر العاصمة. هذا التغيير الهيكلي — إنشاء قدرة تفتيش موزعة جغرافياً — مهم تشغيلياً: إذ يعني أن الشركات في وهران وقسنطينة وسطيف ومراكز إقليمية أخرى لا يمكنها افتراض أن البُعد المادي عن الجهة التنظيمية يُقلل من احتمالية التطبيق.

الأساس القانوني لهذا الموقف صلب. يفرض القانون 18-07 الذي أنشأ ANPDP (المعدَّل بالقانون 25-11 في يوليو 2025) غرامات تتراوح بين 20,000 و1,000,000 دينار جزائري للمخالفات، إضافة إلى عقوبات جنائية تشمل السجن من شهرين إلى خمس سنوات للمخالفات الأشد خطورة.

ما أضافه القانون 25-11 إلى حزمة الامتثال

تعيين DPO إلزامي. يجب على المنظمات التي تُجري معالجة عالية الخطورة تعيين مسؤول حماية البيانات. يجب أن يمتلك DPO معرفة خبراء بقانون وممارسة حماية البيانات، وأن يُزوَّد بالموارد اللازمة لأداء وظيفته باستقلالية.

سجلات المعالجة. يجب على كل مسؤول معالجة الاحتفاظ بسجل مكتوب لجميع أنشطة المعالجة، يشمل: أغراض المعالجة، وفئات البيانات، والمستلمين، ومدد الاحتفاظ، والتدابير الأمنية.

DPIA للمعالجة عالية الخطورة. تشترط المادة 45 مكرر 6 من القانون 25-11 إجراء تقييم أثر حماية البيانات قبل الشروع في أي معالجة “يُرجَّح أن تُفضي إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين”. تؤكد مصادر DLA Piper أن الاستشارة المسبقة لـ ANPDP مطلوبة حين يُشير تقييم DPIA إلى مخاطر متبقية عالية لا يمكن للمسؤول تخفيفها.

إشعار بالاختراقات. يجب على الشركات الإبلاغ عن اختراقات البيانات لـ ANPDP ضمن مهل محددة. عبر الولايات القضائية الأفريقية المقارنة، جرت العادة تحديد نوافذ الإشعار بانتهاكات عالية الخطورة عند 72 ساعة.

قائمة التحقق من الاستعداد للتدقيق في 9 نقاط

1. وضع التسجيل. تأكد من تسجيل شركتك لدى ANPDP لأنشطة المعالجة ذات الصلة. التسجيل هو أول وثيقة يطلبها المفتش.

2. جرد المعالجة (سجل أنشطة المعالجة). احتفظ بسجل موثق حالي لكل عملية معالجة: الغرض، والأساس القانوني، وفئات البيانات، وفئات المستلمين، والنقل إلى دول ثالثة، وجدول الاحتفاظ.

3. تعيين DPO (إن انطبق عليك). إذا كان ملف معالجتك يُستوجب تعيين DPO، فعيّنه وسجّله لدى ANPDP. يُسمح بـ DPO داخلي أو خارجي، لكن التعيين يجب أن يكون موثقاً.

4. DPIA لأعلى معالجاتك خطورة على الأقل. أولويات التقييم: (أ) معالجة فئات البيانات الحساسة (الصحة، القياسات الحيوية، المالية)؛ (ب) التنميط واسع النطاق؛ (ج) المعالجة المنهجية لبيانات الموظفين؛ (د) أي اتخاذ قرار آلي مدعوم بالذكاء الاصطناعي يؤثر في الأفراد.

5. اتفاقيات معالجة البيانات (DPA) مع جميع الموردين. كل موفر سحابة أو SaaS أو منصة موارد بشرية أو أداة تحليلات يعالج بيانات شخصية بالنيابة عنك يجب أن يعمل بموجب اتفاقية DPA متوافقة مع القانون 25-11.

6. إشعارات الخصوصية. يجب أن يتلقى العملاء والموظفون إشعارات خصوصية واضحة تشرح أغراض وأساس جمع البيانات. يجب تحديثها لتعكس إضافات القانون 25-11.

7. إدارة الموافقة (حيث تكون الموافقة هي الأساس القانوني). إذا كان أساسك القانوني للمعالجة هو الموافقة، فأنت بحاجة إلى سجلات موثقة تُثبت أن الموافقة كانت طوعية وخاصة ومستنيرة وصريحة.

8. إجراء الإشعار بالاختراق. حدد واختبر عملية الكشف الداخلي عن الاختراقات وتصعيدها. دون إجراء موثق، نافذة الإشعار بـ 72 ساعة مستحيلة التشغيل.

9. سجلات تدريب الموظفين. سيسأل المفتشون عن كيفية تدريب الموظفين الذين يتعاملون مع البيانات الشخصية. احتفظ بسجلات جلسات التدريب ومعدلات الاستكمال والمحتوى.

ما يعنيه هذا لمنظمات القطاع الخاص

1. الموجة الأولى ستستهدف القطاعات المرئية ذات المعالجة المكثفة

تُولي جهات التطبيق على مستوى العالم الأولوية للقطاعات التي تتسبب مخالفاتها في أكبر الأضرار لأكبر عدد من الأشخاص: الخدمات المالية، والرعاية الصحية، والتجارة الإلكترونية، والاتصالات، والصناعات كثيفة العمالة. يجب على الشركات الجزائرية في القطاع الخاص بهذه القطاعات افتراض أنها في الموجة الأولى من التفتيش. ينبغي لمنصات التكنولوجيا المالية وشركات التأمين والمستشفيات الخاصة ومشغلي التجارة الإلكترونية وشركات التوظيف أن تعتبر الربع الثالث من 2026 موعدها النهائي العملي لاكتمال وضعية الامتثال.

2. “لم نكن نعلم” لم تعد حجة دفاعية

القانون 18-07 ساري منذ أغسطس 2023 والقانون 25-11 منذ يوليو 2025. امتدت حملة التوعية وفترة التسجيل الطوعي لـ ANPDP لأكثر من عامين. سيتعامل المفتشون العاملون في 2026 مع القانون باعتباره قائماً لا حديث العهد.

3. الموردون الدوليون يُضاعفون تعرضك للمخاطر

كثير من شركات القطاع الخاص الجزائرية تستخدم منصات SaaS دولية للموارد البشرية وإدارة علاقات العملاء وتخطيط موارد المؤسسات والتحليلات. كل واحدة منها تمثل نقل بيانات عابرة للحدود يستلزم آلية قانونية. يطلب المدققون المستلهمون من نموذج GDPR عقود الموردين كدليل على عمليات النقل المشروعة.

4. دمج الامتثال في العمليات، لا فوقها

الشركات التي تخرج من موجات التطبيق بأقل تعرض للعقوبات هي التي دمجت حماية البيانات في عملياتها — تطوير المنتجات، ودمج الموردين، وإجراءات الموارد البشرية — بدلاً من إدارتها كطبقة امتثال منفصلة.

5. فجوة توجيه ANPDP تضيق

يُشير ملخص الجزائر لـ Digital Policy Alert إلى أنه لم يُصدَر أي توجيه تطبيق رسمي علني حتى الآن. غير أن إعلان التفتيشات الميدانية يُشير إلى أن ANPDP تتجه نحو موقف التطبيق أولاً بدلاً من انتظار نضوج مكتبة توجيهاتها.

الأفق الزمني للتطبيق هو الآن

يتبع منحنى تطبيق حماية البيانات في الجزائر عن كثب نمط الولايات القضائية الأفريقية التي سبقتها. قامت ODPC كينيا بأولى إجراءاتها الكبيرة في التطبيق عام 2024. أصدرت NDPC نيجيريا غرامة تتجاوز 530,000 دولار عام 2025. في كلتا الحالتين، جاء التصعيد في التطبيق أسرع مما توقعه القطاع الخاص.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل تمتلك ANPDP صلاحية تدقيق الشركات دون إشعار مسبق؟

يمنح القانون 25-11 لـ ANPDP صلاحيات الإشراف والتفتيش، وأشار إعلان فبراير 2024 إلى أن التفتيشات الميدانية ستبدأ بشركات القطاع الخاص. كمعظم جهات حماية البيانات، من المرجح أن ANPDP تملك صلاحية إجراء تفتيشات مُعلنة ومفاجئة، وإن كانت دورات التطبيق المبكرة تبدأ عادةً بعمليات تدقيق مُخطَّر بها.

ما أنواع معالجة البيانات التي تستلزم DPIA بموجب القانون 25-11؟

تشترط المادة 45 مكرر 6 إجراء DPIA لأي معالجة “يُرجَّح أن تُفضي إلى مخاطر عالية على حقوق وحريات الأشخاص الطبيعيين”. تشمل الفئات عالية الخطورة عادةً: التنميط المنهجي للأفراد، ومعالجة فئات البيانات الحساسة على نطاق واسع، واستخدام تقنيات جديدة، وأي معالجة قد تؤدي إلى رفض الخدمات.

إذا كانت شركتي معالجاً للبيانات (لا مسؤولاً)، هل تنطبق عليها الالتزامات ذاتها؟

يواجه المعالجون مجموعة فرعية من الالتزامات المفروضة على المسؤولين. يجب على المعالجين: العمل بموجب اتفاقية DPA مكتوبة مع المسؤول؛ تنفيذ تدابير أمنية تقنية وتنظيمية مناسبة؛ مساعدة المسؤول في إعداد DPIA عند الطلب؛ إخطار المسؤول دون إبطاء بأي اختراق؛ وحذف البيانات أو إعادتها عند انتهاء علاقة الخدمة.

—