المرسوم الجزائري 25-320: دليل الامتثال العملي لحوكمة البيانات لفرق تكنولوجيا المعلومات في القطاع العام

لماذا كان ديسمبر 2025 نقطة تحول لبيانات القطاع العام الجزائري

تراكمت لدى القطاع العام الجزائري مخزونات ضخمة من بيانات المواطنين — سجلات الأحوال المدنية وقواعد بيانات الصحة وملفات الضمان الاجتماعي وسجلات الأراضي ومعرّفات ضريبية — دون توحيد كافٍ لكيفية تصنيف هذه البيانات أو تخزينها أو مشاركتها بين الجهات. ومن المحتمل أن وزارتين تحتفظان بسجلات عن المواطن نفسه تستخدمان تنسيقات غير متوافقة، وتسميات حساسية مختلفة، وأنظمة معزولة عاجزة عن التواصل بأمان. والنتيجة: ازدواجية وجودة بيانات متفاوتة وتعرّض أمني عند كل نقطة تكامل.

المرسوم الرئاسي رقم 25-320 الصادر في 30 ديسمبر 2025 هو الاستجابة الهيكلية لهذه المشكلة. وفقاً لدليل خبراء CMS Law حول إطار الجزائر لحماية البيانات والأمن السيبراني، يحدد المرسوم نطاق “تصنيف البيانات وفهرستها وقابلية التشغيل البيني الآمن بين الإدارات العامة، بما يتوافق مع الأمن السيبراني وحماية البيانات الشخصية.” وعلى الصعيد التشغيلي، يُلزم كل إدارة عامة بتبني نهج موحد لتصنيف أصول بياناتها وبناء قوائم جرد بما تملكه، وتبادل هذه البيانات فقط عبر قنوات آمنة ومعتمدة.

لا يقوم المرسوم بمعزل عن غيره. فهو يقع عند تقاطع آليتين رئيسيتين أخريين: المرسوم رقم 20-05 الذي اشترط في يناير 2021 تعيين ضباط أمن معلومات مخصصين في الجهات العامة وأسّس هيكل حوكمة الأمن السيبراني تحت إشراف CNSSI وANSSI، والقانون رقم 25-11 (يوليو 2025) الذي وحّد نظام حماية البيانات الشخصية الجزائري مع معايير اللائحة الأوروبية العامة لحماية البيانات (GDPR). ويمثل المرسوم 25-320 طبقة إدارة البيانات التي تربط البنية التحتية الأمنية وحمايات البيانات الشخصية في مجموعة حوكمة متماسكة.

الركائز الثلاث للمرسوم

فهم ما يتطلبه المرسوم 25-320 فعلياً يقتضي تحليله إلى مكوناته التشغيلية الثلاثة.

تصنيف البيانات هو الالتزام التأسيسي. يجب على الإدارات العامة تخصيص تصنيفات حساسية لجميع أصول البيانات — بالتمييز على أدنى تقدير بين البيانات العامة المفتوحة والبيانات الإدارية الداخلية والبيانات المقيدة والبيانات السرية. ويجب توثيق مخطط التصنيف وإصدار نسخ منه ومراجعته دورياً.

فهرسة البيانات هي التزام الجرد. يجب على كل جهة بناء قائمة هيكلية منظمة من أصول بياناتها والمحافظة عليها — بتسجيل ما تملكه والأساس القانوني لامتلاكه ومستوى تصنيفه وفترات الاستبقاء والأنظمة التي تقطنها فيها والمسؤول المعيّن.

قابلية التشغيل البيني الآمن هي التزام التبادل. حين تحتاج الإدارات العامة إلى مشاركة البيانات، يشترط المرسوم أن يتم هذا التبادل عبر قنوات موثقة وآمنة مع ضوابط وصول مناسبة ومسارات تدقيق. الهدف هو إلغاء عمليات نقل البيانات العشوائية عبر البريد الإلكتروني أو محركات USB أو مجلدات مشتركة غير محمية.

ما يجب على فرق تكنولوجيا المعلومات في القطاع العام فعله إزاء المرسوم 25-320

1. إجراء جرد أصول البيانات قبل الشروع في التصنيف

الخطأ الأكثر شيوعاً في تطبيقات حوكمة البيانات هو محاولة تصنيف البيانات قبل معرفة ما هو موجود منها. يجب على فرق تكنولوجيا المعلومات في القطاع العام البدء بتمرين اكتشاف منهجي: فهرسة جميع قواعد البيانات ومشاركات الملفات ومستودعات البيانات وعمليات التكامل مع أطراف ثالثة التي تُشغّلها الجهة. لا يجب أن يكون هذا الجرد كاملاً من البداية — فقائمة جرد مكتملة بنسبة 80% أكثر فائدةً بكثير من عدم وجود قائمة. ويصبح هذا الجرد أساساً للتصنيف وسجل قابلية التشغيل البيني الذي يفرضه المرسوم.

2. تصميم مخطط تصنيف يتوافق مع الالتزامات القانونية القائمة

يشترط المرسوم التصنيف “بما يتوافق مع الأمن السيبراني وحماية البيانات الشخصية” — ما يعني أن المخطط يجب أن يأخذ في الاعتبار حساسية الأمن (ضمن إطار المرسوم رقم 20-05) وصفة البيانات الشخصية (ضمن القانون رقم 25-11). يتضمن المخطط العملي للقطاع العام أربعة إلى خمسة مستويات: المستوى الأول للبيانات العامة غير الحساسة، والمستوى الثاني للبيانات الإدارية الداخلية دون معلومات شخصية، والمستوى الثالث للبيانات الشخصية الخاضعة للحمايات المعيارية للقانون رقم 25-11، والمستوى الرابع للبيانات الشخصية الحساسة (الصحة والقضاء والمالية)، والمستوى الخامس عند الاقتضاء للبيانات الخاضعة لتصنيفات الأمن الوطني.

3. تعيين مسؤول حوكمة بيانات مستقل عن مسؤول الأمن

يشترط المرسوم رقم 20-05 بالفعل مسؤول أمن مخصصاً لنظم المعلومات (RSSI). يُضيف المرسوم 25-320 طبقة حوكمة بيانات تستلزم صيانة الفهرس المستمرة وإدارة قابلية التشغيل البيني. وبالتطبيق العملي، يختلف هذان ملفّا الكفاءات: يركز مسؤول RSSI على رصد التهديدات والتحكم في الوصول والاستجابة للحوادث؛ في حين تتطلب وظيفة حوكمة البيانات خبرة في نمذجة البيانات وإدارة الفهارس والتوافق القانوني. وتجد الجهات التي تُعيّن كلتا المسؤوليتين للمسؤول ذاته نفسها أمام وظيفة أمن تُزاحم وظيفة الحوكمة.

4. بناء قابلية التشغيل البيني على البنية التحتية الرقمية الوطنية، لا على روابط نقطة إلى نقطة

ينفَّذ ركيزة قابلية التشغيل البيني في المرسوم بصورة أمثل من خلال البنية التحتية الرقمية الوطنية الجزائرية الناشئة — منصة API للحكومة الإلكترونية التي يطوّرها وزارة التحول الرقمي. بناء تكاملات ثنائية مباشرة بين الجهات (نظام وزارة أ يتصل مباشرةً بنظام وزارة ب) ممكن تقنياً، لكنه يُنشئ شبكة تبعيات يصعب صيانتها. توفر منصة API الوطنية طبقة تبادل محكومة تُسجَّل فيها الطلبات والردود وتُراقَب وتُتتبَّع — وهو بالضبط مسار التدقيق الذي يتصوره المرسوم.

أين يقع هذا المرسوم في منظومة الحوكمة الجزائرية 2025-2026

المرسوم 25-320 هو الآلية الرئيسية الثالثة في منظومة حوكمة تشكّلت بسرعة منذ عام 2023. تُوفّر ANPDP (الهيئة الوطنية لحماية المعطيات ذات الطابع الشخصي) المُنشأة في أغسطس 2023 جهاز الإشراف التنظيمي. القانون رقم 25-11 لشهر يوليو 2025 الذي عدّل قانون حماية البيانات الأساسي (القانون رقم 18-07) أضاف متطلبات المساءلة المتوافقة مع GDPR. وتلاحظ صفحة الاختصاص القضائي الجزائري على DataGuidance أن تعديلات 2025 هذه وافقت بشكل جوهري إطار الخصوصية الجزائري على المعايير الدولية. ويوفر المرسوم 25-320 الآن طبقة البنية التحتية لإدارة البيانات التي تجعل الامتثال لتلك الالتزامات ممكناً على الصعيد التشغيلي.

بالنسبة لفرق تكنولوجيا المعلومات في القطاع العام، المعنى العملي هو أن الامتثال ليس ثلاثة مشاريع منفصلة. إذ يُغذّي التصنيف بموجب المرسوم 25-320 مباشرةً سجلات المعالجة المطلوبة بموجب القانون رقم 25-11، ويوفر الفهرس الرقابة التي تجريها ANPDP، وتُشغّل قنوات قابلية التشغيل البيني الآمن ضوابط الوصول التي يفرضها المرسوم رقم 20-05.

الأسئلة الشائعة

المصادر والقراءات الإضافية

• CMS Expert Guide: Data Protection and Cybersecurity Laws — Algeria — CMS Law
• DLA Piper Data Protection: Algeria — DLA Piper
• Digital Policy Alert: Algeria Digital Digest — Digital Policy Alert
• DataGuidance: Algeria — DataGuidance