تدقيقات ANPDP: دليل الامتثال في الجزائر 2026

نُشر في أبريل 20, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

أطلقت ANPDP في الجزائر أولى عمليات التفتيش الميداني في القطاع الخاص عام 2024، ويضيف القانون 25-11 (يوليو 2025) التزامات بأسلوب GDPR: DPO إلزامي، سجل معالجة، DPIA للعمليات عالية المخاطر، ونافذة إخطار اختراق مدتها 5 أيام. سبعة ضوابط رئيسية تحدد الآن جاهزية الامتثال.

خلاصة: يجب على الشركات الجزائرية تعيين DPO وبناء سجل معالجة حي وصياغة runbook للإخطار خلال 5 أيام الآن — تفتيشات ANPDP قائمة، والمشترون المؤسسيون يعاملون الامتثال بالفعل كبوابة مشتريات.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

بدأت أولى عمليات التفتيش في القطاع الخاص من طرف ANPDP عام 2024 وتنطبق التزامات القانون 25-11 الجديدة على كل شركة جزائرية تعالج بيانات شخصية — هذا تنفيذ نشط، لا مخاطرة مستقبلية.

الجدول الزمني للعمل
فوري
▾

يجب أن تكون الضوابط الأساسية (DPO، ROPA، runbook الاختراق) موجودة بالفعل؛ الشركات التي تفتقر إليها على بُعد شكوى عميل أو رسالة منظّم واحدة من إجراء تنفيذي.

أصحاب المصلحة الرئيسيون
CTO, CISO, المستشارون القانونيون, مؤسسو الشركات الناشئة

نوع القرار
تكتيكي
▾

يرشد هذا المقال خطوات تشغيلية ملموسة للوفاء بالتزام قانوني حالي بدلاً من صياغة استراتيجية طويلة الأمد.

مستوى الأولوية
عالي
▾

عمليات التفتيش من ANPDP قائمة، والعقوبات بموجب القانون 25-11 جوهرية، وفجوات الامتثال تؤثر مادياً على المكاسب في المشتريات المؤسسية.

خلاصة سريعة: يجب على الشركات الجزائرية أن تعامل تعيين DPO وسجل المعالجة وrunbook الإخطار خلال 5 أيام كأولويات فورية لا كمشاريع مستقبلية. تطلب فرق المشتريات في البنوك والمؤسسات العامة هذه الوثائق بالفعل — امتلاكها جاهزة هو درع قانوني وميزة تجارية في آن واحد.

من قانون خامل إلى تنفيذ نشط

لسنوات، ظل القانون 18-07 على الرف: اعتُمد عام 2018، وأصبح مطبقاً عملياً فقط بعد تنصيب ANPDP في 11 أغسطس 2022. تغير ذلك حين أعلنت السلطة في 28 فبراير 2024 أنها ستبدأ أولى عمليات التفتيش الميدانية للشركات في القطاع الخاص، “من أجل فحص مختلف إجراءات المعالجة قبل توسيع العملية لتشمل الأفراد والشركات العامة”، وفقاً لملاحظة الاختصاص الجزائرية في DataGuidance.

ثم جاء القانون 25-11 (الذي اعتمده البرلمان في يوليو 2025) ليحكم القبضة. يقرّب الإطار المعدَّل الجزائر من التزامات بأسلوب GDPR: DPO إلزامي، وسجل مكتوب لأنشطة المعالجة، وتقييمات أثر على حماية البيانات للمعالجة عالية المخاطر، ونافذة إخطار اختراق مدتها 5 أيام إلى ANPDP.

هذا مهم للشركات الناشئة والمؤسسات الصغيرة والمتوسطة الجزائرية التي كانت حتى وقت قريب تعامل الامتثال للخصوصية كعمل ورقي. لم تعد رسالة التدقيق من ANPDP مجرد احتمال.

ما الذي يحفّز عملية تفتيش

لم تصدر ANPDP علنياً وثيقة معايير تفتيش رسمية. لكن استناداً إلى اتصالات السلطة نفسها وإرشادات CMS Law لعام 2025، تركز عمليات التفتيش على:

المنظمات التي تتعامل مع فئات حساسة (بيانات صحية، بيومترية، مالية)
عمليات النقل عبر الحدود إلى دول لا تتمتع بمستوى ملائم
الشركات التي عالجت شكاوى مقدمة مباشرة من أصحاب البيانات
القطاعات ذات التأثير على المصلحة العامة: الاتصالات، التجارة الإلكترونية، fintech، healthtech، HR-tech

كما تنشر ANPDP نموذجاً لسياسة خصوصية لمساعدة المنظمات على الوفاء بالتزامات الإعلام — إشارة ناعمة بأن الحد الأدنى (إشعار خصوصية مرئي + أساس قانوني موثق) متوقع على أي موقع يجمع بيانات شخصية.

الضوابط السبعة التي تحتاجها كل شركة

بموجب القانون 25-11 (الذي يعدّل القانون 18-07)، يجب على المنظمات التي تعالج بيانات شخصية للمقيمين في الجزائر أن تكون قادرة على تقديم ما يلي عند الطلب:

DPO مُعيَّن — موظف مُكلَّف، يمكن التواصل معه عبر بريد إلكتروني منشور، يتمتع باستقلال كافٍ عن وحدات الأعمال التي يدقّقها.
سجل أنشطة المعالجة (ROPA) — سجل مكتوب يصف كل عملية معالجة، الأساس القانوني، مدة الاحتفاظ، والمتلقين.
إشعار الخصوصية — متعدد الطبقات، بلغة واضحة، يشير إلى ANPDP كسلطة إشراف.
DPIA — لأي معالجة تشمل تحديد الملامح، البيانات الحساسة على نطاق واسع، القياسات الحيوية، أو مراقبة الأماكن العامة.
إجراء إخطار اختراق خلال 5 أيام — runbook ينقل الاختراق المشتبه به من الكشف إلى إخطار ANPDP خلال النافذة القانونية.
عقود المعالجين — اتفاقيات مكتوبة مع كل مزود يصل إلى بيانات شخصية بالنيابة عن المتحكم.
آلية نقل — أساس قانوني موثق لأي بيانات تغادر التراب الجزائري.

غياب أي من هذه هو نوع الثغرة التي سيُشير إليها مُدقِّق ANPDP في زيارة ميدانية.

دليل الشركات الناشئة: تحويل الامتثال إلى أصل تجاري

بالنسبة للشركات الناشئة الجزائرية — خاصة تلك التي تخدم البنوك أو شركات التأمين أو عملاء القطاع العام — أصبحت جاهزية ANPDP بوابة مشتريات. يطلب المشترون المؤسسيون بشكل متزايد جهة اتصال DPO وسجل معالجة وأدلة انضباط DPIA قبل التوقيع. ثلاث خطوات عملية:

تعيين DPO جزئي في وقت مبكر. التوظيف المخصص غالباً ما يكون غير ضروري لشركة أقل من 30 موظفاً. يُكلِّف DPO جزئي (مشترك بين 4-6 شركات ناشئة، عادةً عبر مكتب امتثال في الجزائر العاصمة) جزءاً صغيراً من تكلفة دور بدوام كامل ويلبي التكليف.
بناء ROPA كجدول بيانات، لا كملف PDF. كل ميزة جديدة تضيف سطر معالجة؛ معاملة السجل كأداة حية تعني أنه محدّث في اليوم الذي تصل فيه ANPDP.
كتابة runbook الإخطار قبل الحادث. ساعة الـ 5 أيام لا ترحم. الشركات الناشئة التي تنتظر صياغة قالب الإخطار تحت الضغط نادراً ما تتمكن من احترام النافذة.

سيدفع العملاء المؤسسيون أكثر — وسيُنهون الصفقات أسرع — حين تجد فرق المشتريات وضعية خصوصية موثقة بشكل نظيف. هذه حجة تجارية، لا قانونية فقط.

كيف يندرج هذا ضمن الحزمة التنظيمية الأوسع

تتراكم موجة 2025-2026 من التنظيم الرقمي الجزائري. أسس المرسوم الرئاسي 25-320 (ديسمبر 2025) الإطار الوطني لحوكمة البيانات. يُلزم المرسوم الرئاسي 26-07 (يناير 2026) بإنشاء وحدات الأمن السيبراني في المؤسسات العامة. حدّث المرسوم 26-97 (يناير 2026) اعتمادات معدات الاتصالات الإلكترونية. كل منها في مسار مختلف، لكن الامتثال لـ ANPDP هو الخيط الناظم: كل واحد من هذه الأنظمة يفترض أن البيانات الشخصية الأساسية محمية بالفعل.

الشركات التي تعامل حماية البيانات كأساس — وليس كملحق — ستتنقّل في باقي الحزمة بأقل احتكاك. أما من لا تفعل فستجد كل مرسوم جديد أصعب في الامتثال من سابقه.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

ما هي ANPDP وما دورها؟

ANPDP (السلطة الوطنية لحماية البيانات الشخصية) هي السلطة المستقلة للإشراف على حماية البيانات في الجزائر، نُصِّبت في 11 أغسطس 2022. تُصدر الإرشادات، وتعالج الشكاوى، وتُجري عمليات التفتيش الميدانية، وتُنفّذ الامتثال للقانون 18-07 (2018) وتعديله الصادر في يوليو 2025 القانون 25-11. يغطي اختصاصها كل منظمة تعالج بيانات شخصية للمقيمين في الجزائر.

هل تحتاج كل شركة جزائرية إلى DPO؟

يجعل القانون 25-11 تعيين DPO إلزامياً للمنظمات التي تُجري معالجة تتطلب مراقبة منتظمة لأصحاب البيانات أو تتعامل مع فئات حساسة على نطاق واسع. عملياً، معظم الشركات الخاصة متوسطة وكبيرة الحجم وكل الجهات العامة تحتاج إلى واحد. يمكن للشركات الناشئة الصغيرة تلبية المطلب بـ DPO جزئي مشترك بين شركات متعددة عبر مكتب امتثال.

ما الذي يُعدّ اختراق بيانات يستوجب الإخطار بموجب القانون الجزائري؟

بموجب القانون 25-11، يُعدّ كذلك أي حادث يُسبّب تدميراً أو فقداناً أو تعديلاً عرضياً أو غير قانوني للبيانات الشخصية، أو إفصاحاً أو وصولاً غير مُصرَّح به. يجب على المتحكم إخطار ANPDP في غضون 5 أيام من علمه بالاختراق. إذا كان الاختراق مُرجَّح أن يُسبّب مخاطر عالية على حقوق أصحاب البيانات، يجب إخطار الأفراد المتضررين أيضاً.