قانون 25-11: خارطة طريق الامتثال في 2026

نُشر في أبريل 24, 2026 · آخر تحديث أبريل 27, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

قانون 25-11 الصادر في 24 يوليو 2025 يُعدِّل القانون 18-07 بإدخال المساءلة والمقاربة القائمة على المخاطر وتوثيق مهام DPO. يتعين على مراقبي البيانات الاحتفاظ بسجل المعالجة، وإجراء DPIAs للمعالجات عالية المخاطر، وإعداد ملف DPO قابل للتدقيق.

الخلاصة: على المديرين التقنيين ومسؤولي الامتثال الجزائريين جعل 2026 عام تفعيل حزمة المساءلة — السجل، وسير عمل DPIA، وملف DPO، والاستجابة للانتهاكات — بدل انتظار النصوص التطبيقية.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

ينطبق قانون 25-11 على كل مؤسسة جزائرية تُعالج بيانات شخصية — من البنوك ومشغلي الاتصالات إلى الشركات الناشئة والمؤسسات الصغيرة والمتوسطة — مما يجعل الترقية نحو المساءلة موضوع امتثال رئيسياً.

الجدول الزمني للعمل
فوري
▾

الالتزامات سارية بالفعل بعد الاعتماد في 24 يوليو 2025؛ يتعين على مراقبي البيانات تفعيل DPO والسجل وسير عمل DPIA خلال 2026.

أصحاب المصلحة الرئيسيون
المديرون التقنيون، DPOs، المستشارون القانونيون، مسؤولو الامتثال

نوع القرار
تكتيكي
▾

تدعم المقالة قرارات تشغيلية ملموسة — من يُعيَّن DPO، وأي العمليات يجب توثيقها أولاً، وأين يجب إطلاق DPIAs.

مستوى الأولوية
عالي
▾

المساءلة هي البوابة التي ستُقيّم ANPDP من خلالها كل التزام آخر، لذا فالثغرات التوثيقية تتحول مباشرة إلى تعرض قانوني.

خلاصة سريعة: على مراقبي البيانات الجزائريين التعامل مع قانون 25-11 باعتباره التزاماً بإنتاج الأدلة، لا فقط بحسن السلوك. بناء السجل وتعيين DPO وإجراء DPIAs على المعالجتين أو الثلاث الأكثر خطورة يجب أن يسبق أي ورشة امتثال أخرى.

طبقة مساءلة جديدة فوق القانون 18-07

قانون حماية البيانات الأصلي في الجزائر — القانون 18-07 المؤرخ في 10 يونيو 2018 — أنشأ السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP) وحدّد المبادئ الأساسية للمعالجة. غير أنه لم يُلزم المؤسسات بإثبات امتثالها. إذ كان بإمكان مراقبي البيانات الادعاء بأنهم يحترمون القواعد دون توثيق أي شيء.

يسدّ القانون رقم 25-11 الصادر في 24 يوليو 2025، المعدِّل والمتمم للقانون 18-07، هذه الفجوة. وفقاً لـدليل CMS لحماية البيانات في الجزائر، يُدخل تعديل 2025 “متطلبات أقوى للمساءلة والمقاربة القائمة على المخاطر والحوكمة”، مع تعريفات محددة للبيانات البيومترية والتنميط (profiling) وإخفاء الهوية (pseudonymisation) وانتهاكات البيانات. عملياً، يتعين الآن على مراقبي البيانات الجزائريين بناء الأدلة التي تُظهر كيفية تعاملهم مع البيانات الشخصية والاحتفاظ بها.

هذه المقالة دليل توضيحي للشركات والفرق الهندسية التي تستعد لعام 2026. تركّز على المعنى العملي لمبدأ المساءلة والمقاربة القائمة على المخاطر وتوثيق DPO في العمليات اليومية — وليس على انتقاد أي جهة.

مبدأ المساءلة في الممارسة

بموجب التعديل، لم يعد مراقب البيانات يُحكم عليه فقط بالنتائج (هل وقع انتهاك؟) بل أيضاً بالعملية (هل يمكنك إظهار التدابير المتخذة؟). يترجم ذلك إلى ثلاث حزم توثيقية يجب على فريق البيانات الحديث الاحتفاظ بها:

سجلات أنشطة المعالجة — سجل حي يسرد كل غرض من أغراض المعالجة، وفئات البيانات، ومدة الاحتفاظ، والمستقبلين، والتدابير الأمنية. هذا هو أهم مستند خلال أي تفتيش مستقبلي من ANPDP.
السياسات والإجراءات — سياسة مكتوبة لحماية البيانات، وجدول احتفاظ، وإجراء حقوق أصحاب البيانات، وخطة استجابة للانتهاكات.
سجلات التدريب والتحكم في الوصول — دليل على أن الموظفين الذين يتعاملون مع البيانات تلقوا تدريباً، وأن الوصول إلى السجلات مقيد ومسجَّل.

كما يُشير CookieYes في دليله الخاص بالجزائر، فإن تعديل 2025 يُقرّب الإطار الجزائري من اللائحة العامة لحماية البيانات (GDPR) في الاتحاد الأوروبي. وهذا مفيد: فمعظم القوالب التي تُنتجها برامج GDPR القائمة (سجلات RoPA، قوالب DPIA، العقود النموذجية) يمكن تكييفها بدل إعادة بنائها.

الحوكمة القائمة على المخاطر: دراسات التأثير والاستشارة المسبقة

يُدخل قانون 25-11 مقاربة قائمة على المخاطر. كلما كانت المعالجة أوسع وأكثر حساسية، زادت الحاجة إلى التوثيق والمراجعة. أداتان تحملان الجزء الأكبر من هذا العبء:

دراسات تأثير حماية البيانات (DPIA) إلزامية للمعالجات عالية المخاطر — مثلاً المعالجة البيومترية على نطاق واسع، أو المراقبة الممنهجة لفضاء عام، أو تنميط يُنتج آثاراً قانونية. يجب أن تَصِف DPIA المعالجة، وتُقيّم ضرورتها وتناسبها، وتُحدد المخاطر على أصحاب البيانات، وتُدرج إجراءات التخفيف.
الاستشارة المسبقة مع ANPDP عندما تُظهر الـDPIA وجود خطر متبقٍ مرتفع لا يستطيع المراقب تخفيفه بمفرده. في هذه الحالة، لا يمكن انطلاق المعالجة إلا بعد استشارة السلطة.

يؤكد فصل الجزائر لدى DLA Piper أن الـDPIA وإجراء الاستشارة المسبقة جزء من الإطار المعدَّل، على غرار المادتين 35 و36 من GDPR. البنوك وشركات التأمين ومنصات الرعاية الصحية وشركات التجارة الإلكترونية التي تعتمد على التنميط السلوكي تقع كلها في نطاق التطبيق.

ملف DPO: أكثر من بطاقة تعريف

أصبح تعيين مسؤول حماية البيانات إلزامياً للمؤسسات التي تعالج البيانات على نطاق واسع أو تتعامل مع فئات حساسة. لكن القانون لا يتوقف عند المنصب — بل يتوقع أن تكون أنشطة DPO موثقة وقابلة للتدقيق.

يجب أن يتضمن ملف DPO المتوافق:

كتاب التعيين، مع وصف لمهام DPO وخط المسؤولية (يجب أن يرفع التقارير إلى أعلى مستويات الإدارة).
مؤهلات DPO — التدريبات ذات الصلة، الشهادات، أو الخبرة المهنية في حماية البيانات.
خطة عمل سنوية ودليل تنفيذها (تدقيقات مُنفذة، DPIAs مراجعة، جلسات تدريب مُقدَّمة).
سجل لطلبات أصحاب البيانات (الوصول، التصحيح، الحذف) ولتفاعلات DPO مع ANPDP.
إعلان استقلالية: لا يتلقى DPO تعليمات حول طريقة أداء مهامه، ولا يجوز معاقبته على أدائها.

يمكن تعيين DPO واحد لعدة مؤسسات إذا سمح حجمها وهيكلها بذلك — وهو مفيد للمجموعات الجزائرية ذات الشركات التابعة المتعددة، أو للشركات الصغيرة التي تتشارك مسؤول DPO خارجي.

قائمة تحقق عملية للامتثال في 2026

بالنسبة للمديرين التقنيين والمستشارين القانونيين ومسؤولي الامتثال في الشركات الجزائرية، تُغطي القائمة التالية الالتزامات الأساسية التي أوجدها قانون 25-11:

[ ] تعيين DPO (داخلي أو خارجي) ونشر معلومات الاتصال.
[ ] بناء سجل أنشطة معالجة يُغطي كل عملية تلمس البيانات الشخصية.
[ ] تعيين المعالجات ذات “المخاطر العالية” وإجراء DPIA حيث يلزم.
[ ] تحديث إشعارات الخصوصية على المواقع والتطبيقات لتعكس الحقوق الجديدة ومعلومات DPO.
[ ] وضع إجراء استجابة للانتهاكات جاهز خلال 72 ساعة، يتماشى مع قواعد الإخطار في القانون 25-11.
[ ] تدريب كل موظف يتعامل مع البيانات مرة واحدة في السنة على الأقل والاحتفاظ بسجلات الحضور.
[ ] إضافة بنود حماية البيانات إلى جميع عقود المعالجين (الاستضافة، SaaS، الأجور، التسويق).
[ ] مراجعة التحويلات العابرة للحدود وتوثيق الأساس القانوني لكل منها.

لا يتطلب أي من هذه البنود انتظار نصوص تطبيقية — فهي تنبثق مباشرة من القانون 18-07 المعدَّل ويمكن تنفيذها الآن باستخدام قوالب GDPR مكيَّفة للسياق الجزائري.

إطار استعداد للامتثال من أربع ركائز لمراقبي البيانات الجزائريين

قائمة المراجعة أعلاه تُدرج ما يجب فعله؛ هذا الإطار يشرح كيف تُرتَّب وتُشغَّل البنود الثمانية في ظل قيود الوقت والميزانية الفعلية.

الركيزة 1: السجل أولاً — قبل أي شيء آخر

سجل أنشطة المعالجة هو وثيقة المساءلة التي تعتمد عليها كل التزامات الامتثال الأخرى. بدونه، لا يستطيع DPO إجراء DPIAs، ولا تستطيع الفريق القانوني تدقيق عقود المعالجين، ولا تستطيع ANPDP إجراء تفتيش مُجدٍ. ابنِ السجل كجدول بيانات حي يُدرج كل نشاط معالجة، والأساس القانوني للمعالجة، وفئات البيانات، ومدة الاحتفاظ، والمستلمين، والتدابير الأمنية. ابدأ بالأنشطة الخمسة الأكثر خطورة — عادةً أنظمة الموارد البشرية وقواعد بيانات العملاء وأي منصة تستخدم التنميط السلوكي — ووسّع السجل شهرياً. القالب المقدَّم من اللجنة الأوروبية لحماية البيانات قابل للتكيف مباشرةً مع السياق الجزائري ولا يستغرق تخصيصه لمنظمة متوسطة الحجم أكثر من يومين.

الركيزة 2: تعيين DPO — المؤهّل أهم من اللقب

تعيين DPO-as-a-service من مكتب قانوني يستوفي الالتزام القانوني لكن نادراً ما يبني قدرات امتثال داخلية. بالنسبة للمنظمات التي تعالج البيانات على نطاق واسع، النهج المُفضَّل هو تحديد مرشح داخلي — عادةً من وظائف الشؤون القانونية أو حوكمة تقنية المعلومات أو إدارة المخاطر — والاستثمار في تأهيله عبر شهادة معترف بها. يجب أن يتضمن خطة عمل DPO السنوية تدقيقَين داخليَّين على الأقل لأنشطة المعالجة عالية الخطورة، ومراجعة DPIA واحدة كل ربع سنة، وجلسات تدريبية موثَّقة للوحدات التشغيلية.

الركيزة 3: تنفيذ DPIA — إعطاء الأولوية للبيانات البيومترية والتنميط والمعالجة واسعة النطاق

يشترط قانون 25-11 إجراء DPIAs للمعالجة عالية الخطورة دون تحديد منهجية تقييم ذاتي. منهجية DPIA الصادرة عن CNIL الفرنسية، المتاحة للعموم والمتوافقة مع المادة 35 من GDPR، هي المرجع الأكثر تفصيلاً المتاح باللغة الفرنسية وتتطابق مع المتطلبات القانونية الجزائرية. لمعظم الشركات الجزائرية، أنشطة المعالجة الثلاثة الأكثر احتمالاً لاشتراط DPIA هي: أنظمة البيومترية للحضور والوصول، وتنميط سلوك العملاء، ومعالجة بيانات الصحة على نطاق واسع. DPIA لنشاط متوسط التعقيد يستغرق نحو 40 ساعة شخص في المرة الأولى و10 ساعات للمراجعات السنوية التالية.

الركيزة 4: الاستجابة للانتهاكات — بناء قدرة الإخطار خلال 72 ساعة قبل الحاجة إليها

يُوائم قانون 25-11 إطار إخطار الانتهاكات الجزائري مع قاعدة 72 ساعة في GDPR. معظم المنظمات الجزائرية تكتشف تعرضها لهذا الالتزام فقط عند وقوع انتهاك. العمل التحضيري بسيط لكنه يجب أن يتم مسبقاً: تعيين مسؤول استجابة للانتهاكات مُسمَّى، وتوثيق مسار التصعيد الداخلي من الكشف الأولي إلى إخطار ANPDP، وصياغة نموذج الإخطار مسبقاً بالحقول الخمسة الإلزامية، وإجراء تمرين محاكاة سنوي لحادثة برنامج الفدية. يؤكد دليل CookieYes للجزائر أن مهلة 72 ساعة تبدأ من لحظة الإدراك، لا من التأكيد على التأثير.

التعامل مع ANPDP باستراتيجية

يصف إطار الركائز الأربع أعلاه ما يستلزمه الامتثال. أما السؤال الاستراتيجي لمراقبي البيانات الجزائريين في 2026 فهو كيفية التعامل مع ANPDP بوصفها شريكاً في التنفيذ لا سلطة تفتيشية فحسب. آلية الاستشارة المسبقة في قانون 25-11 — التي تُوجب على مراقبي البيانات التواصل مع ANPDP حين تكشف DPIA عن خطر متبقٍّ مرتفع — ليست عائقاً بيروقراطياً وحسب. إنها أيضاً قناة تتيح للمنظمات الحصول على توجيهات مُلزِمة قبل أن يبدأ نشاط معالجة مُتنازَع عليه، لا بعد أن يُطلق انتهاك أو شكوى إجراءات رسمية. ينبغي للمراقبين في القطاع المصرفي والتأمين والرعاية الصحية، حيث يُرجَّح أن تُثير الأنشطة البيومترية والتنميط متطلبات DPIA، النظر في استخدام مسار الاستشارة المسبقة بشكل استباقي في 2026 — ببناء علاقة موثقة مع ANPDP حول مسألة أقل رهانات قبل ظهور مسألة رهاناتها عالية.

يُلاحظ الفصل الخاص بالجزائر لدى DLA Piper أن ANPDP لا تزال تُطوّر ممارستها الرقابية في إطار القانون المُعدَّل. المبادرون الأوائل الذين يُقدمون DPIA جيدة البنية وطلبات استشارة مسبقة في السنة الأولى من التطبيق يبنون حسن نية ومعرفة تشغيلية لن تمتلكها المنظمات المنتظرة للتوجيهات الرسمية. بنت CNIL الفرنسية كثيراً من عقيدتها في التطبيق العملي من خلال التعامل مع المنظمات الممتثلة مبكراً في السنوات التي أعقبت تطبيق GDPR عام 2018؛ وتمر ANPDP بالمحطة المُعادِلة ذاتها. ضباط حماية البيانات (DPO) الجزائريون الذين يُعاملون 2026 على أنه العام لتأسيس علاقة مهنية مع السلطة، بدلاً من العام لتفادي انتباهها، سيكونون في وضع أفضل حين تصل موجة التطبيق الأولى.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

متى يدخل قانون 25-11 حيز التنفيذ في الجزائر؟

اعتُمد قانون 25-11 في 24 يوليو 2025 ويُعدِّل القانون 18-07 لعام 2018. التزاماته الأساسية — المساءلة، وتعيين DPO، والـDPIAs، وإخطار الانتهاكات — سارية بالفعل. قد تُحدد النصوص التطبيقية التفاصيل، لكن ينبغي للشركات اعتبار المتطلبات فعّالة في 2026.

هل يتعين على الشركات الجزائرية الصغيرة تعيين DPO؟

تعيين DPO إلزامي عندما تُعالج المؤسسة البيانات على نطاق واسع أو تتعامل مع فئات حساسة (صحة، بيومتريا، تنميط). قد تُعفى الشركات الصغيرة جداً ذات المعالجة المحدودة، لكن يُسمح صراحة بمشاركة DPO خارجي بين عدة كيانات صغيرة بموجب التعديل.

كيف يُقارن قانون 25-11 بـGDPR بالنسبة للشركات الجزائرية؟

يُقرّب تعديل 2025 الإطار الجزائري من GDPR في المساءلة والـDPIAs ومهام DPO وإخطار الانتهاكات وحقوق أصحاب البيانات. يمكن للشركات التي تُدير برنامج GDPR بالفعل تكييف معظم توثيقها القائم. الخصوصيات المحلية الرئيسية هي دور ANPDP والعقوبات الجزائية المرتبطة ببعض مخالفات القانون الجزائري.