من قانون خامل إلى تنفيذ نشط
لسنوات، ظل القانون 18-07 على الرف: اعتُمد عام 2018، وأصبح مطبقاً عملياً فقط بعد تنصيب ANPDP في 11 أغسطس 2022. تغير ذلك حين أعلنت السلطة في 28 فبراير 2024 أنها ستبدأ أولى عمليات التفتيش الميدانية للشركات في القطاع الخاص، “من أجل فحص مختلف إجراءات المعالجة قبل توسيع العملية لتشمل الأفراد والشركات العامة”، وفقاً لملاحظة الاختصاص الجزائرية في DataGuidance.
ثم جاء القانون 25-11 (الذي اعتمده البرلمان في يوليو 2025) ليحكم القبضة. يقرّب الإطار المعدَّل الجزائر من التزامات بأسلوب GDPR: DPO إلزامي، وسجل مكتوب لأنشطة المعالجة، وتقييمات أثر على حماية البيانات للمعالجة عالية المخاطر، ونافذة إخطار اختراق مدتها 5 أيام إلى ANPDP.
هذا مهم للشركات الناشئة والمؤسسات الصغيرة والمتوسطة الجزائرية التي كانت حتى وقت قريب تعامل الامتثال للخصوصية كعمل ورقي. لم تعد رسالة التدقيق من ANPDP مجرد احتمال.
ما الذي يحفّز عملية تفتيش
لم تصدر ANPDP علنياً وثيقة معايير تفتيش رسمية. لكن استناداً إلى اتصالات السلطة نفسها وإرشادات CMS Law لعام 2025، تركز عمليات التفتيش على:
- المنظمات التي تتعامل مع فئات حساسة (بيانات صحية، بيومترية، مالية)
- عمليات النقل عبر الحدود إلى دول لا تتمتع بمستوى ملائم
- الشركات التي عالجت شكاوى مقدمة مباشرة من أصحاب البيانات
- القطاعات ذات التأثير على المصلحة العامة: الاتصالات، التجارة الإلكترونية، fintech، healthtech، HR-tech
كما تنشر ANPDP نموذجاً لسياسة خصوصية لمساعدة المنظمات على الوفاء بالتزامات الإعلام — إشارة ناعمة بأن الحد الأدنى (إشعار خصوصية مرئي + أساس قانوني موثق) متوقع على أي موقع يجمع بيانات شخصية.
إعلان
الضوابط السبعة التي تحتاجها كل شركة
بموجب القانون 25-11 (الذي يعدّل القانون 18-07)، يجب على المنظمات التي تعالج بيانات شخصية للمقيمين في الجزائر أن تكون قادرة على تقديم ما يلي عند الطلب:
- DPO مُعيَّن — موظف مُكلَّف، يمكن التواصل معه عبر بريد إلكتروني منشور، يتمتع باستقلال كافٍ عن وحدات الأعمال التي يدقّقها.
- سجل أنشطة المعالجة (ROPA) — سجل مكتوب يصف كل عملية معالجة، الأساس القانوني، مدة الاحتفاظ، والمتلقين.
- إشعار الخصوصية — متعدد الطبقات، بلغة واضحة، يشير إلى ANPDP كسلطة إشراف.
- DPIA — لأي معالجة تشمل تحديد الملامح، البيانات الحساسة على نطاق واسع، القياسات الحيوية، أو مراقبة الأماكن العامة.
- إجراء إخطار اختراق خلال 5 أيام — runbook ينقل الاختراق المشتبه به من الكشف إلى إخطار ANPDP خلال النافذة القانونية.
- عقود المعالجين — اتفاقيات مكتوبة مع كل مزود يصل إلى بيانات شخصية بالنيابة عن المتحكم.
- آلية نقل — أساس قانوني موثق لأي بيانات تغادر التراب الجزائري.
غياب أي من هذه هو نوع الثغرة التي سيُشير إليها مُدقِّق ANPDP في زيارة ميدانية.
دليل الشركات الناشئة: تحويل الامتثال إلى أصل تجاري
بالنسبة للشركات الناشئة الجزائرية — خاصة تلك التي تخدم البنوك أو شركات التأمين أو عملاء القطاع العام — أصبحت جاهزية ANPDP بوابة مشتريات. يطلب المشترون المؤسسيون بشكل متزايد جهة اتصال DPO وسجل معالجة وأدلة انضباط DPIA قبل التوقيع. ثلاث خطوات عملية:
- تعيين DPO جزئي في وقت مبكر. التوظيف المخصص غالباً ما يكون غير ضروري لشركة أقل من 30 موظفاً. يُكلِّف DPO جزئي (مشترك بين 4-6 شركات ناشئة، عادةً عبر مكتب امتثال في الجزائر العاصمة) جزءاً صغيراً من تكلفة دور بدوام كامل ويلبي التكليف.
- بناء ROPA كجدول بيانات، لا كملف PDF. كل ميزة جديدة تضيف سطر معالجة؛ معاملة السجل كأداة حية تعني أنه محدّث في اليوم الذي تصل فيه ANPDP.
- كتابة runbook الإخطار قبل الحادث. ساعة الـ 5 أيام لا ترحم. الشركات الناشئة التي تنتظر صياغة قالب الإخطار تحت الضغط نادراً ما تتمكن من احترام النافذة.
سيدفع العملاء المؤسسيون أكثر — وسيُنهون الصفقات أسرع — حين تجد فرق المشتريات وضعية خصوصية موثقة بشكل نظيف. هذه حجة تجارية، لا قانونية فقط.
كيف يندرج هذا ضمن الحزمة التنظيمية الأوسع
تتراكم موجة 2025-2026 من التنظيم الرقمي الجزائري. أسس المرسوم الرئاسي 25-320 (ديسمبر 2025) الإطار الوطني لحوكمة البيانات. يُلزم المرسوم الرئاسي 26-07 (يناير 2026) بإنشاء وحدات الأمن السيبراني في المؤسسات العامة. حدّث المرسوم 26-97 (يناير 2026) اعتمادات معدات الاتصالات الإلكترونية. كل منها في مسار مختلف، لكن الامتثال لـ ANPDP هو الخيط الناظم: كل واحد من هذه الأنظمة يفترض أن البيانات الشخصية الأساسية محمية بالفعل.
الشركات التي تعامل حماية البيانات كأساس — وليس كملحق — ستتنقّل في باقي الحزمة بأقل احتكاك. أما من لا تفعل فستجد كل مرسوم جديد أصعب في الامتثال من سابقه.
الأسئلة الشائعة
ما هي ANPDP وما دورها؟
ANPDP (السلطة الوطنية لحماية البيانات الشخصية) هي السلطة المستقلة للإشراف على حماية البيانات في الجزائر، نُصِّبت في 11 أغسطس 2022. تُصدر الإرشادات، وتعالج الشكاوى، وتُجري عمليات التفتيش الميدانية، وتُنفّذ الامتثال للقانون 18-07 (2018) وتعديله الصادر في يوليو 2025 القانون 25-11. يغطي اختصاصها كل منظمة تعالج بيانات شخصية للمقيمين في الجزائر.
هل تحتاج كل شركة جزائرية إلى DPO؟
يجعل القانون 25-11 تعيين DPO إلزامياً للمنظمات التي تُجري معالجة تتطلب مراقبة منتظمة لأصحاب البيانات أو تتعامل مع فئات حساسة على نطاق واسع. عملياً، معظم الشركات الخاصة متوسطة وكبيرة الحجم وكل الجهات العامة تحتاج إلى واحد. يمكن للشركات الناشئة الصغيرة تلبية المطلب بـ DPO جزئي مشترك بين شركات متعددة عبر مكتب امتثال.
ما الذي يُعدّ اختراق بيانات يستوجب الإخطار بموجب القانون الجزائري؟
بموجب القانون 25-11، يُعدّ كذلك أي حادث يُسبّب تدميراً أو فقداناً أو تعديلاً عرضياً أو غير قانوني للبيانات الشخصية، أو إفصاحاً أو وصولاً غير مُصرَّح به. يجب على المتحكم إخطار ANPDP في غضون 5 أيام من علمه بالاختراق. إذا كان الاختراق مُرجَّح أن يُسبّب مخاطر عالية على حقوق أصحاب البيانات، يجب إخطار الأفراد المتضررين أيضاً.
المصادر والقراءات الإضافية
- Data Protection and Cybersecurity Laws in Algeria — CMS Expert Guide
- Algeria Data Protection Law 18-07 and its Amendments — CookieYes
- Algeria Jurisdiction Note — DataGuidance
- ANPDP Reminds Companies of Obligations Under Law No. 18-07 — DataGuidance
- [DPA Digital Digest: Algeria [2025 Edition] — Digital Policy Alert](https://digitalpolicyalert.org/digest/dpa-digital-digest-algeria)
- Setting up of the National Authority for the Protection of Personal Data (ANPDP) — Gide
🔗 مقالات ذات صلة
المرسوم 25-320: حوكمة البيانات الوطنية للتصنيف والأمن في الجزائر
قانون حماية البيانات الشخصية في الجزائر (18-07): ما يجب أن تعرفه كل مؤسسة في 2026
السيادة الرقمية والأمن السيبراني: كيف تبني الجزائر قدرة دفاع سيبراني مستقلة
المشتريات العمومية لتكنولوجيا المعلومات في الجزائر: كيف تعمل المناقصات التقنية ولماذا
