القانون الجزائري 25-11: دليل الامتثال المتوافق مع GDPR لكل مؤسسة

ما الذي غيّره القانون 25-11 فعلياً

كان القانون الجزائري الأساسي لحماية البيانات — القانون رقم 18-07 المؤرخ في 10 يونيو 2018 — نصاً تأسيسياً، غير أن متطلباته الإجرائية كانت متخلفة عن معايير GDPR التي تحتاج إليها كثير من شركات التكنولوجيا الجزائرية الموجهة للتصدير للوصول إلى السوق الأوروبية. وتعالج القانون رقم 25-11 الصادر في يوليو 2025 هذه الفجوة عبر مجموعة محددة من التعديلات. ولم تُلغِ هذه التعديلات القانون 18-07 بل عدّلته وامتدت عليه، مما يعني أن كل برنامج امتثال مبني على القانون 18-07 يحتاج إلى تحليل الفجوات مقابل الأحكام الجديدة.

تتوزع التغييرات الأكثر أهمية على الصعيد التشغيلي على أربعة محاور. أولاً، يُقنّن القانون دور مسؤول حماية البيانات (DPO). يجب على المنظمات التي تعالج البيانات الشخصية بحجم كبير — تحديداً تلك التي تعالج بيانات أكثر من 5000 شخص سنوياً أو تتعامل مع فئات حساسة من البيانات كالسجلات الصحية والمعرّفات البيومترية وتاريخ المعاملات المالية — تعيين DPO بحلول 1 يناير 2027 وفق الجدول الانتقالي لـ ANPDP. يتوافق هذا مع المادة 37 من GDPR.

ثانياً، شُدِّدت معايير الموافقة. كان القانون السابق يشترط “الموافقة الصريحة” دون تحديد شكلها. تنص المادة 25-11 الآن على أن الموافقة الرقمية يجب أن تكون “حرة وخاصة ومستنيرة ولا لبس فيها” — مطابقةً لتعريف الاستصواب 32 من GDPR للموافقة الصالحة. وتُحظر صراحةً المربعات المُحددة مسبقاً وبنود الموافقة المجمّعة للخدمات الرقمية الموجهة للمقيمين الجزائريين.

ثالثاً، يُدخل التعديل التزاماً بالإخطار الإلزامي بالاختراقات في غضون 72 ساعة لإبلاغ ANPDP عند احتمال أن يُشكّل الاختراق خطراً على حقوق وحريات الأفراد. يعكس هذا بدقة المادة 33 من GDPR. قبل القانون 25-11، لم يكن للجزائر أي مهلة قانونية للإخطار بالاختراقات.

رابعاً، يُوسّع القانون تعريف البيانات الشخصية الحساسة ليشمل بيانات الموقع الجغرافي وبيانات التوصيف السلوكي المستخرجة من أنظمة الذكاء الاصطناعي — إضافة استشرافية تستهدف مباشرةً محركات التوصية وخوارزميات تسجيل الائتمان والتطبيقات المتعلقة بالمراقبة.

سياق تطبيق ANPDP

أُنشئت ANPDP بموجب القانون 18-07 لكنها ظلت في مرحلة بناء القدرات حتى عام 2023. وعقب تعيين مجلسها الكامل في أواخر 2024، انتقلت إلى مرحلة التطبيق الفعلي. في الربع الأول من 2026، أجرت مراجعات امتثال لـ 14 شركة خدمات مالية وأصدرت إشعارات رسمية لـ 3 منها بسبب ممارسات جمع الموافقة غير الكافية — وهي أول إجراءات تطبيق منذ إنشاء الهيئة، وفق تقارير CMS.law.

تمنح القانون 25-11 ANPDP صلاحيات تحقيق معززة، تشمل إجراء عمليات تفتيش ميداني دون إشعار مسبق للمنظمات المشتبه في معالجتها بيانات حساسة دون ترخيص. تبقى الغرامة الإدارية القصوى 10 ملايين دينار جزائري (ما يعادل 73,000 دولار أمريكي بأسعار الصرف الحالية) للانتهاك الواحد، لكن التعديل يُدخل المحاسبة التراكمية للانتهاكات — مما يُزيل التأثير السقفي السابق الذي كان يُشجّع على التأخير.

بالنسبة للشركات متعددة الجنسيات العاملة في الجزائر والشركات الناشئة الجزائرية التي تعالج بيانات مقيمين أوروبيين، فإن آليات التنسيق بين ANPDP وهيئات الإشراف الأوروبية التي أرستها القانون 25-11 ذات أهمية بالغة. يُنشئ القانون قناةً رسميةً لإخطارات نقل البيانات عبر الحدود — شرط مسبق لأي شركة جزائرية تسعى إلى توقيع بنود تعاقدية نموذجية (SCCs) مع نظراء أوروبيين.

ما يجب على المؤسسات فعله الآن

1. إجراء تدقيق شامل لجرد المعالجة خلال 60 يوماً

أول التزام في أي برنامج امتثال متوافق مع GDPR هو سجل أنشطة المعالجة (RPA) — وتجعل القانون 25-11 هذا السجل متطلباً رسمياً للمنظمات الجزائرية أيضاً. يجب أن يوثّق السجل: فئات البيانات الشخصية المعالجة، والأساس القانوني لكل نشاط معالجة، ومدة الاحتفاظ، وأي متلقين من أطراف ثالثة، وما إذا كانت البيانات تُنقل عبر الحدود. أشارت ANPDP في اتصالاتها خلال الربع الأول من 2026 إلى أن توثيق سجل أنشطة المعالجة سيكون أول وثيقة تُطلبها في أي تدقيق.

2. مراجعة وإعادة بناء جميع مسارات الموافقة الرقمية

كل خدمة رقمية موجهة للمقيمين الجزائريين — بما في ذلك مسارات الدفع الإلكتروني وإعداد تطبيقات التكنولوجيا المالية وتسجيل برامج الولاء والاشتراك في النشرات الإخبارية — تحتاج إلى تدقيق في آلية الموافقة. يُحدّد تحليل CookieYes للامتثال مع القانون 25-11 ثلاثة أنماط فشل شائعة: (أ) البنود المجمّعة حيث يُدرج الموافقة على معالجة البيانات ضمن قبول الشروط العامة، (ب) صياغة الانسحاب (opt-out) المُقدَّمة على أنها اشتراك (opt-in)، (ج) غياب التحديد الدقيق للغرض. كل هذه الأنماط غير ممتثلة صراحةً الآن.

3. تطبيق بروتوكول إخطار بالاختراق في 72 ساعة

مهلة الإخطار بالاختراق هي التغيير التشغيلي الأكثر إلحاحاً في القانون 25-11. 72 ساعة مهلة قصيرة — تستلزم أن تمتلك المنظمات مسارات عمل مسبقة للاستجابة للحوادث تُمكّنها من تقييم نطاق الاختراق وتحديد ما إذا كان يُفعّل عتبات الإخطار وإعداد تقرير منظم لـ ANPDP في ثلاثة أيام تقويمية. يُشير دليل DLA Piper لحماية البيانات الجزائرية إلى أن معظم الشركات الجزائرية تفتقر حالياً إلى أي خطة رسمية لفرز الحوادث.

4. التخطيط لتعيين DPO قبل الموعد النهائي يناير 2027

المنظمات الملزمة بتعيين DPO وفق القانون 25-11 لديها مهلة حتى 1 يناير 2027. هذا وقت كافٍ للتخطيط، لكنه ليس وقتاً للتأجيل. يجب أن يمتلك DPO “معرفة خبيرة بقانون وممارسات حماية البيانات الشخصية”. بالنسبة لمعظم الشركات، يعني هذا إما تطوير مهارات متخصص قانوني أو أمني موجود عبر برنامج شهادة معترف به (CIPP/E من IAPP أو مؤهل CDPO) أو الاستعانة بمزوّد خدمات DPO خارجي. يجب تسجيل DPO لدى ANPDP — ومن المتوقع نشر إجراءات التسجيل في النصف الثاني من 2026.

الصورة الأشمل

القانون 25-11 ليس تعديلاً معزولاً — إنه جزء من قوس تنظيمي متماسك يُموضع إطار حوكمة البيانات الجزائري نحو مصداقية دولية. بالتوازي معه، أرسى المرسوم رقم 25-320 الصادر في ديسمبر 2025 قواعد التصنيف الوطني للبيانات والتشغيل المتبادل للإدارات العامة، مكوّناً الجانب الحكومي المكمّل لالتزامات القطاع الخاص في القانون 25-11. ويشكّل هاذان النصان معاً الطبقة التأسيسية للبنية التحتية القانونية للجزائر الرقمية 2030.

بالنسبة للشركات التكنولوجية الجزائرية ذات الطموحات التصديرية — ولا سيما تلك التي تستهدف السوق الأوروبية — يُتيح القانون 25-11 فرصةً وليس التزاماً فحسب. فتحت ANPDP حواراً مع المجلس الأوروبي لحماية البيانات بشأن عملية تقييم الملاءمة. قرار الملاءمة سيُزيل الحاجة إلى SCCs لكل نقل بيانات بين الاتحاد الأوروبي والجزائر. برامج الامتثال التي تُوثّق توافقها مع القانون 25-11 الآن تبني قاعدة الأدلة التي تدعم ترشّح الجزائر للحصول على قرار الملاءمة.

الأسئلة الشائعة

المصادر والقراءات الإضافية

• قانون حماية البيانات الجزائري — دليل خبراء CMS
• نظرة عامة على حماية البيانات في الجزائر — DLA Piper
• قانون حماية البيانات الجزائري — CookieYes
• ملخص السياسات الرقمية في الجزائر — Digital Policy Alert