القانون 25-11: قاعدة الـ5 أيام للإشعار بالاختراق

نُشر في مايو 23, 2026 · بواسطة ALGERIATECH Editorial

⚡ أبرز النقاط

عدّلت القانون الجزائري 25-11 (يوليو 2025) القانون 18-07 ليشترط إخطار ANPDP بخرق البيانات خلال 5 أيام، وتعيين DPO بمؤهلات متخصصة، وإجراء تقييمات أثر حماية البيانات (DPIA) للمعالجة عالية المخاطر، وسجلات عمليات آلية. وصلت العقوبات الجنائية إلى 10 سنوات سجناً و10 ملايين دينار جزائري غرامات.

الخلاصة: يجب على المؤسسات الجزائرية إنجاز ثلاثة تسليمات فورية: تعيين DPO مؤهل بتفويض مكتوب رسمي، وبناء سجل المعالجة انطلاقاً من العمليات التجارية، والتحقق من آلية الإخطار خلال 5 أيام عبر تمرين محاكاة قبل أول تدقيق قطاعي لـ ANPDP.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
▾

يُنشئ القانون 25-11 التزامات قابلة للتنفيذ لكل منظمة جزائرية تعالج البيانات الشخصية — نافذة الـ 5 أيام وتعيين DPO ومتطلبات DPIA سارية مع عقوبات جنائية تصل إلى 10 سنوات.

الجدول الزمني للعمل
فوري
▾

ANPDP عملياتية منذ أغسطس 2023؛ تعديل القانون 25-11 ساري؛ دورة التطبيق جارية. تعيين DPO وبناء سجل المعالجة هما أول التسليمات.

أصحاب المصلحة الرئيسيون
مسؤولو الامتثال في المؤسسات، DPO، RSSI، الفرق القانونية، مديرو تكنولوجيا المعلومات في القطاع العام

نوع القرار
استراتيجي
▾

يستلزم الامتثال للقانون 25-11 تغييراً تنظيمياً هيكلياً — تعيين DPO، بناء السجل، برنامج DPIA، دليل الاستجابة للاختراقات — وليس مشروعاً عرضياً.

مستوى الأولوية
حرج
▾

تجعل العقوبات الجنائية التي تبلغ 10 سنوات وغرامات 10,000,000 دينار جزائري، إلى جانب الموقف التطبيقي النشط لـ ANPDP، من تأخير الامتثال خطراً قانونياً وتجارياً ملموساً.

خلاصة سريعة: يجب على مسؤولي الامتثال في المؤسسات الجزائرية إعطاء الأولوية لثلاثة تسليمات فورية: تعيين DPO مؤهل بتفويض مكتوب رسمي؛ بناء سجل المعالجة للمادة 41 مكرر 2 انطلاقاً من العمليات التجارية لا الأنظمة التقنية؛ وإجراء تمرين محاكاة لنافذة الإشعار خلال 5 أيام للتحقق من تشغيل السجل ودليل الاستجابة قبل وصول أول تدقيق قطاعي لـ ANPDP.

ما الذي غيّره القانون 25-11 فعلياً — ولماذا يهم الآن

تمتلك الجزائر قانون حماية بيانات منذ يونيو 2018 — القانون 18-07، الإطار الأساسي لحماية البيانات الشخصية الذي أنشأ الهيئة الوطنية لحماية البيانات الشخصية (ANPDP). لثلاث سنوات، وُجد القانون دون هيئة تطبيق فاعلة. تغيّر ذلك في أغسطس 2023 حين أصبحت ANPDP عملياتية، وصارت التزامات الإخطار والامتثال حقيقية.

ثم في يوليو 2025، أقرّ المشرع الجزائري القانون 25-11 معدِّلاً القانون 18-07 بأربعة إضافات هيكلية تغيّر جوهرياً ما يجب على المؤسسات القيام به:

التزام إشعار بالاختراق خلال 5 أيام لـ ANPDP فور علم المتحكم باختراق البيانات الشخصية
تعيين مسؤول حماية البيانات (DPO) إلزامي بمعايير مؤهلات صريحة
تقييمات أثر حماية البيانات (DPIA) إلزامية للمعالجة عالية المخاطر
سجل أنشطة المعالجة (المادة 41 مكرر 2) وسجل العمليات الآلي (المادة 41 مكرر 3)

كل التزام يتفاعل مع الآخرين. نافذة الـ 5 أيام غير قابلة للتطبيق دون السجل. السجل يكشف الأنشطة التي تستلزم DPIA. والـ DPO مسؤول عن الأربعة.

الالتزامات الأربعة بالتفصيل

ما يشترطه القانون 25-11 لإشعار الاختراق

تنص المادة 41 مكرر 4 من القانون المعدَّل على أن المتحكمين يجب أن “يُخطروا الهيئة في موعد أقصاه خمسة (5) أيام من تاريخ علمهم بوقوع اختراق للبيانات الشخصية.” أما المعالجون — مزودو الخدمات السحابية، المستعينون بالخدمات، أي مورد يعالج بيانات شخصية نيابةً عن المتحكم — فيجب أن يُخطروا المتحكم “فوراً عند الاكتشاف.” تسري نافذة الـ 5 أيام من تاريخ علم المتحكم لا من تاريخ اكتشاف المعالج.

يُنشئ ذلك سلسلة عملية: المعالج يكتشف الاختراق ← يُخطر المتحكم فوراً ← للمتحكم 5 أيام من علمه لتقديم الإشعار لـ ANPDP. يجب أن يتضمن الإشعار: طبيعة الاختراق، فئات وعدد تقريبي للأشخاص المتضررين، الفئات وعدد تقريبي للسجلات المعنية، العواقب المحتملة، والتدابير المتخذة.

ما يشترطه تعيين DPO

يجب اختيار DPO بناءً على “مؤهلات مهنية ولا سيما المعرفة المتخصصة بالقانون والممارسات المتعلقة بحماية البيانات.” لا يكفي ذلك مدير أمن المعلومات العام دون تكوين قانوني. يجب أن يتمتع DPO بوصول موثق إلى الإدارة العليا واستقلالية تنظيمية.

ما تشترطه DPIA ومتى تُطلَب

تنطبق التزامات DPIA على المعالجة التي “من المرجح أن تُفضي إلى مخاطر عالية على حقوق الأشخاص الطبيعيين وحرياتهم.” فئات التفعيل تشمل: التنميط المنهجي، المعالجة الواسعة للبيانات الحساسة (الصحة، القياسات الحيوية، السوابق الجنائية)، والمراقبة المنهجية للأماكن العامة.

ما تشترطه سجل المعالجة والسجل الآلي

تشترط المادة 41 مكرر 2 سجلاً مكتوباً أو إلكترونياً لجميع أنشطة المعالجة يتضمن: غرض المعالجة، فئات البيانات، فئات المستلمين، فترات الاحتفاظ، والتدابير الأمنية. تشترط المادة 41 مكرر 3 سجلاً آلياً يُثبت الأحداث التشغيلية الفعلية — الوصول، التعديل، الحذف. هذا السجل هو السند الذي ستفحصه ANPDP حين يُطلق إشعار اختراق مراجعةً.

إطار الامتثال في أربعة أعمدة للمؤسسات الجزائرية

1. تعيين DPO وتوثيق التفويض

لا تسمحوا بأن يُمتصّ دور DPO من قِبَل RSSI أو الفريق القانوني دون تعيين رسمي. يجب أن يكون التعيين مكتوباً، ويحدد نطاق العمل وخط الإبلاغ، ويُقرّ وصول DPO لجميع أنشطة المعالجة ذات الصلة، ويوفر بيانات الاتصال للتواصل مع ANPDP. للمؤسسات التي تفتقر إلى مرشحين مؤهلين داخلياً، خدمات DPO الخارجية — أشار عدد من الممارسين المرتبطين بـ SOLTIC Algérie إلى توافرهم — حل مؤقت مناسب.

2. سجل المعالجة — بناؤه من القمة للقاع لا من القاع للقمة

نمط الفشل الأكثر شيوعاً هو بناء السجل كجرد تقني يبدأ من الأنظمة ويحاول اشتقاق الأغراض. ابدأوا بدلاً من ذلك بالعمليات التجارية: ماذا تفعل منظمتكم فعلياً بالبيانات الشخصية؟ التوظيف، الرواتب، إدارة العملاء، العقود مع الموردين. رتّبوا كل عملية بالفئات البيانية التي تلمسها وأساس المعالجة القانونية ومدة الاحتفاظ. الجرد التقني يأتي ثانياً مؤكداً مواقع البيانات — لا محدداً العمليات. سجل مبني هكذا يُنتج تلقائياً قائمة تشغيلات DPIA.

3. السجل الآلي — اعتبروه ضابطاً أمنياً لا أوراقاً بيروقراطية

تتوافق متطلبة السجل الآلي في المادة 41 مكرر 3 تقريباً مع ما تسميه فرق عمليات الأمن الناضجة سجل التدقيق أو سجل SIEM. إذا كانت منظمتكم تشغّل بالفعل SIEM، فلديكم المادة الخام — المهمة ضمان تغطية جميع أنشطة المعالجة المدرجة في السجل. إذا لم يكن لديكم تسجيل آلي على مستوى معالجة البيانات، أعطوا الأولوية للأنشطة الأعلى خطورة أولاً.

4. دليل الاستجابة للاختراقات — تشغيل توقيت الـ 5 أيام قبل الحاجة إليه

لن تكون نافذة الإشعار قابلة للتطبيق إلا إذا أجريتم تدريباً تمثيلياً مسبقاً. يجب أن يحدد الدليل: من يُعلن الاختراق؟ من يصيغ إشعار ANPDP؟ ما البيانات من السجل التي تُغذي الإشعار؟ من يُوافق ويُقدّم؟ وكيف تبدو سلسلة إشعار المعالج؟ تُشير تحليل TÜV Rhineland للقانون 25-11 إلى أن السلسلة معالج→متحكم→هيئة تستلزم جداول زمنية تعاقدية متفقاً عليها مسبقاً مع كل معالج.

مسار التطبيق: ما ستبحث عنه ANPDP أولاً

استهدفت الدورة الأولى للتطبيق في أنظمة مماثلة (CNDP المغربية، INPDP التونسية) الالتزامات الأكثر وضوحاً وقابلية للتحقق: تعيين DPO (أو غيابه)، وجود سجل معالجة، ومدى تقديم إشعارات الاختراق في الوقت المناسب. خضعت منظمات الخدمات المالية والاتصالات والتجارة الإلكترونية للتدقيق الأبكر.

تُلاحظ دورية Digital Policy Alert لحماية البيانات في أفريقيا أن القانون 25-11 الجزائري يجلبه إلى مستوى كثافة الالتزام مماثل لـ POPIA جنوب أفريقيا وقانون حماية البيانات الكيني — وكلاهما انتقلا إلى تطبيق فعّال في غضون 18 شهراً من تعديلاتهما الرئيسية.

الدرس الهيكلي: الالتزامات ضوابط أمنية في الجوهر

كل التزام في القانون 25-11 هو أيضاً ضابط أمني. تعيين DPO يبني المساءلة التنظيمية. سجل المعالجة يكشف تدفقات البيانات التي قد لا تعرفها فرق الأمن. السجل الآلي يخلق سجل التدقيق الذي يحتاجه المحققون عند وقوع اختراق. نافذة الإشعار تفرض الاستثمار في قدرات الكشف.

إطار العقوبات الجنائية الجزائري (حتى 10 سنوات للانتهاكات المتعمدة) يُشير إلى أن الحكومة لا تعتبر حماية البيانات التزاماً هيناً. تجاوز متوسط وقت الكشف العالمي لاختراقات الداخليين 150 يوماً عام 2025. سد هذه الفجوة الكشفية هو الطريق الوحيد لجعل توقيت الإشعار قابلاً للإدارة.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn

تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

الأسئلة الشائعة

هل تنطبق قاعدة الإشعار في 5 أيام للقانون 25-11 على جميع المنظمات أم على الشركات الكبيرة فقط؟

ينطبق القانون 25-11 على جميع المتحكمين الذين يعالجون البيانات الشخصية في الجزائر — لا يوجد حدٌّ أدنى لحجم المنظمة. تخضع كل من المؤسسات العامة والشركات الخاصة التي تجمع أو تخزن أو تعالج بيانات شخصية للأفراد لالتزام الإشعار خلال 5 أيام لـ ANPDP عند وقوع اختراق. ستُعطي ANPDP الأولوية على الأرجح لمراقبة المعالجين ذوي الحجم الكبير في الخدمات المالية والاتصالات والتجارة الإلكترونية في دوراتها التدقيقية الأولى.

ما الفرق بين DPIA وسجل المعالجة في القانون الجزائري؟

سجل المعالجة (المادة 41 مكرر 2) جرد شامل لجميع أنشطة معالجة البيانات الشخصية التي تُجريها المنظمة — غرضها وفئات البيانات وفئات المستلمين وفترات الاحتفاظ والتدابير الأمنية. يُشترط دائماً. أما DPIA فتمضي أعمق لأنشطة معالجة بعينها عالية المخاطر: تقيّم ضرورة المعالجة وتناسبها، وتُحدّد المخاطر على أصحاب البيانات، وتُوثّق تدابير التخفيف. السجل يحدد الأنشطة التي تستلزم DPIA؛ والـ DPIA تُوثّق تقييم المخاطر لكل نشاط مؤهَّل.

ماذا يحدث إذا أخفقت مؤسسة في الإشعار خلال 5 أيام؟

يُعرّض الإخفاق في الإشعار خلال 5 أيام المنظمةَ لآلية تطبيق ANPDP الإدارية، التي تبدأ بإشعار رسمي للامتثال ويمكن أن تتصاعد إلى سحب التصريح. في حالات الإخفاء المتعمد أو الانتهاك المتعمد، تُطبَّق عقوبات جنائية: شهران إلى 10 سنوات سجناً وغرامات 5,000 إلى 10,000,000 دينار جزائري. النتيجة العملية الأكثر فورية هي أن إشعاراً متأخراً أو غائباً، متى اكتُشف، سيُطلق تدقيقاً كاملاً في وضعية امتثال المنظمة.