⚡ أبرز النقاط

يُعدّل القانون الجزائري رقم 25-11 (يوليو 2025) الإطار التأسيسي لحماية البيانات للقانون 18-07، مُدخِلاً التزامات متوافقة مع GDPR: نافذة إشعار باختراق البيانات خلال 5 أيام، وتعيين مسؤولي حماية البيانات إلزامياً، وتقييمات أثر حماية البيانات للمعالجة عالية المخاطر، وسجلات مفصّلة لأنشطة المعالجة قابلة للتطبيق من ANPDP العاملة. تصل العقوبات الجنائية إلى مليون دينار و5 سنوات سجن.

خلاصة: يجب على المؤسسات الجزائرية تعيين مسؤول حماية بيانات (DPO) فوراً وبناء هيكل استجابة للاختراقات قادر على تقديم إشعار ANPDP خلال 5 أيام، ومراجعة جميع أنشطة المعالجة القائمة لحالة التصريح — ومعاملة هذه الخطوات كخطوط عمل متوازية لا متسلسلة.

اقرأ التحليل الكامل ↓

🧭 رادار القرار

الأهمية بالنسبة للجزائر
عالي
يُفضي القانون 25-11 إلى التزامات قانونية مباشرة لأي مؤسسة جزائرية تعالج البيانات الشخصية — وهو في الواقع العملي يعني كل شركة لديها موظفون أو عملاء أو خدمات رقمية. العقوبات الجنائية وANPDP العاملة تجعل هذا موضوع امتثال عالي المخاطر.
الجدول الزمني للعمل
فوري
دخل القانون حيز التنفيذ في يوليو 2025 وANPDP عاملة منذ أغسطس 2023. المؤسسات التي لم تقيّم بعد وضعها في مواجهة الإطار المُعدَّل هي بالفعل في موقف عدم امتثال.
أصحاب المصلحة الرئيسيون
مسؤولو الامتثال المؤسسي، مديرو الموارد البشرية، المديرون التقنيون، المستشارون القانونيون، المعيَّنون DPO
نوع القرار
استراتيجي
تحقيق الامتثال مع القانون 25-11 يستلزم تنسيقاً متعدد الأقسام (قانوني ومعلوماتي وموارد بشرية وعمليات) ولا يمكن تفويضه لفريق واحد — إنه قرار حوكمة بمساءلة على مستوى مجلس الإدارة.
مستوى الأولوية
حرج
العقوبات الجنائية التي تصل إلى 5 سنوات سجن وغرامات مليون دينار، مقترنةً بنافذة إشعار اختراق مدتها 5 أيام، تضع هذا في المستوى الحرج لأي مؤسسة تحتفظ ببيانات شخصية جزائرية.

خلاصة سريعة: يجب على مسؤولي الامتثال في المؤسسات الجزائرية تعيين مسؤول حماية بيانات (DPO) فوراً وإجراء سبرينت جرد بيانات لمدة 30 يوماً لرسم خرائط جميع أنشطة معالجة البيانات الشخصية وبناء هيكل استجابة للاختراقات قادر على تقديم إشعار ANPDP خلال 5 أيام من الاكتشاف — مع معاملة هذه الإجراءات الثلاثة كخط عمل موازٍ لا متسلسل، نظراً لأن قدرة تطبيق ANPDP فعّالة بالفعل.

إعلان

ما الذي يُغيّره القانون 25-11 فعلياً

بدأت مسيرة الجزائر في حماية البيانات مع القانون رقم 18-07 لشهر يونيو 2018، الذي أرسى الإطار التأسيسي لحماية البيانات الشخصية وأنشأ الهيئة الوطنية لحماية البيانات الشخصية (ANPDP). أصبحت ANPDP عاملة في أغسطس 2023. القانون 25-11 الصادر في 24 يوليو 2025 هو أول تعديل جوهري لهذا الإطار — ويمثّل تصعيداً مهماً في متطلبات الامتثال.

يصف خبراء قانونيون هذا التعديل بأنه “خطوة إضافية في التوافق التدريجي للإطار الجزائري لحماية البيانات مع المعايير الدولية، ولا سيما GDPR، من خلال إدخال متطلبات معززة للمساءلة والمقاربة القائمة على المخاطر والحوكمة.” عملياً، يعني ذلك خمسة التزامات جديدة أو مُعزَّزة جوهرياً:

  1. نافذة إشعار الاختراق خلال 5 أيام: يجب على مزودي الخدمات إشعار الهيئة الوطنية والأفراد المتضررين خلال 5 أيام من اكتشاف اختراق يتضمن إتلافاً أو فقداناً أو تغييراً أو إفصاحاً أو وصولاً غير مصرّح به للبيانات الشخصية. تستلزم الاختراقات عالية المخاطر إشعاراً واضحاً وبلغة مبسّطة لأصحاب البيانات — لا مجرد إشعار تنظيمي.
  2. تعيين مسؤول حماية البيانات (DPO) إلزامياً: يجب على المتحكمين بالبيانات تعيين مسؤول حماية بيانات. خلافاً لـ GDPR الذي يقصر إلزامية DPO على فئات محددة من المعالجين ذوي الحجم الكبير أو البيانات الحساسة، يُطبّق التعديل الجزائري هذا الالتزام بنطاق أوسع.
  3. تقييمات أثر حماية البيانات (DPIA): يجب على المؤسسات التي تُجري معالجة عالية المخاطر إتمام تقييمات DPIA قبل النشر. هذا يُدخل بوابة معالجة مسبقة رسمية لم تكن موجودة في القانون الأصلي لعام 2018.
  4. سجلات أنشطة المعالجة: يجب على المتحكمين والمعالجين الاحتفاظ بسجلات مفصّلة لجميع أنشطة معالجة البيانات، متاحة لـ ANPDP عند الطلب. دخل التزام حفظ السجلات حيز التنفيذ مع تعديل 2025.
  5. العقوبات الجنائية: تستوجب المخالفات عقوبات جنائية تتراوح بين 20,000 و1,000,000 دينار و/أو سجن من شهرَين إلى 5 سنوات — تصعيد ملحوظ من موقف التطبيق الإداري في الغالب للإطار الأصلي.

سلّطت يوم الامتثال والأمن السيبراني المنعقد في الجزائر العاصمة في أبريل 2026 الضوء على القانون 18-07 بوصفه محور نقاشات الامتثال المؤسسي، مع تشديد خبراء القطاع على أن “الأمن السيبراني والامتثال يجب أن يتكاملا في صميم الاستراتيجية المؤسسية” — مؤشر إلى أن تطبيق ANPDP يتحوّل إلى موضوع مجالس الإدارة لا مجرد شأن قسم المعلوماتية.

إعلان

إطار امتثال في أربعة ركائز لمسؤولي المخاطر المؤسسية الجزائريين

1. جرد البيانات وتعيين مسؤول حماية البيانات

قبل أي عمل آخر في مجال الامتثال، يجب أن تعرف المؤسسة ما البيانات الشخصية التي تحتفظ بها وأين تعيش ومن يعالجها ولأي غرض. يفترض الالتزام في القانون 25-11 بالاحتفاظ بسجلات أنشطة معالجة مفصّلة وجود هذا الجرد — لكن معظم المؤسسات الجزائرية لا تمتلك خارطة بيانات رسمية.

ابدأوا بسبرينت مدته 30 يوماً: حدّدوا كل نظام يخزّن أو يعالج بيانات شخصية (منصات الموارد البشرية والـ CRM وقواعد بيانات العملاء وأدوات التسويق والخدمات السحابية)، وثّقوا الأساس القانوني لكل نشاط معالجة، وضعوا علامة على المعالجات الأكثر حجماً أو أشد حساسية للأولوية في DPIA. في الوقت ذاته، عيّنوا مسؤول حماية البيانات. هذا لا يستلزم توظيفاً مخصصاً: يمكن أن يكون DPO مسؤول امتثال حالي أو مستشاراً قانونياً أو استشارياً خارجياً — لكن يجب توثيق التعيين والشخص المُسمَّى يجب أن يمتلك الولاية والصلاحية والموارد للعمل باستقلالية.

2. هيكل الاستجابة للاختراقات

تبدو نافذة الإشعار خلال 5 أيام طويلة حتى يقع الحادث. في الواقع، المؤسسات التي تفتقر إلى هيكل استجابة مسبق للاختراقات تكتشف الاختراقات عادةً في اليوم الثالث وتقضي اليومَين الرابع والخامس في تحديد المسؤول. القانون 25-11 لا يتيح مثل هذا الهامش.

المتطلب هنا هيكلي لا إجرائي فحسب: أنتم بحاجة إلى نظام توثيق تصنيف الحوادث (ما الذي يُعدّ اختراقاً واجب الإشعار)، وشخص مُسمَّى يمتلك صلاحية تفعيل سلسلة الإشعار، ونموذج إشعار مُعدّ مسبقاً لـ ANPDP، وعملية تواصل موازية لأصحاب البيانات المتضررين. يجب اختبار هيكل الاستجابة عبر تمارين المحاكاة على الطاولة مرة واحدة على الأقل قبل أن يتصاعد تطبيق ANPDP — وينبغي للاختبار أن يحاكي تحديداً اختراقاً عطلة نهاية الأسبوع، لأن قدرة الاستجابة في أدناها حينئذٍ وساعة الـ 5 أيام لا تتوقف.

3. حوكمة DPIA للمعالجة عالية المخاطر

تقييمات أثر حماية البيانات ليست خانة اختيار في قائمة امتثال — إنها بوابة تطوير منتج. بموجب القانون 25-11، نشر نظام جديد يعالج بيانات شخصية عالية المخاطر دون DPIA مكتملة يُعرّض المؤسسة لعقوبات تنظيمية ومسؤولية جنائية معاً.

عرّفوا “عالي المخاطر” في سياقكم: يشمل هذا عادةً مراقبة الموظفين بالجملة ومعالجة البيانات البيومترية وأنظمة تعريف العملاء وأي معالجة تتضمن فئات حساسة (بيانات صحية وتاريخ مالي وسجلات جنائية). لكل نشر مؤهَّل، يجب أن تُضمَّن عملية DPIA: وصف المعالجة وأغراضها؛ تقييم الضرورة والتناسب؛ تحديد المخاطر على أصحاب البيانات؛ توثيق الضوابط التي تُخفف هذه المخاطر؛ والحصول على موافقة DPO قبل الإطلاق. يجب أيضاً دمج مراجعات DPIA في قوالب إدارة المشاريع ليكون المعبر هيكلياً لا اختيارياً.

4. التفاعل مع ANPDP — التصريح والترخيص

يُلزم القانون 18-07 بتعديلاته المؤسساتِ بتقديم تصريحات مسبقة لـ ANPDP قبل بدء المعالجة. هذا الالتزام سابق للقانون 25-11 لكنه مُطبَّق الآن من قِبل سلطة عاملة. تمتلك ANPDP، كما تتابعها نشرة Digital Policy Alert التنظيمية، صلاحية إصدار التراخيص والتحقيق في الشكاوى وفرض العقوبات الإدارية — تحذيرات وإشعارات رسمية وغرامات — بصورة مستقلة عن العقوبات الجنائية المتاحة للمدعين العامين.

الإجراء العملي للامتثال هنا هو مراجعة أنشطة المعالجة القائمة للتحقق من حالة تصريحها: هل صُرِّح لـ ANPDP بجميع أنشطة المعالجة الحالية؟ هل توجد أنشطة جديدة (ترحيل سحابي وأدوات تحليلية جديدة وترتيبات مشاركة بيانات مع جهات خارجية) لم يُصرَّح بها قط؟ تقديم تصريحات بأثر رجعي أقل تكلفة بكثير من الدفاع عن تحقيق في شكوى. ومستقبلاً، ادمجوا التصريح لـ ANPDP في المعبر ذاته الذي تُدرج فيه DPIA — كلا الالتزامين مُثارَان بالأحداث ذاتها وينبغي التعامل معهما معاً.

الصورة الأكبر

القانون 25-11 ليس نهاية تطور الجزائر في حماية البيانات — بل هو نقطة تحوّل في المسار. تعديل 2025 يمثّل تقارباً متعمَّداً مع منطق GDPR، والموقف التشغيلي لـ ANPDP منذ أغسطس 2023 يُظهر سلطة تبني قدرتها التطبيقية. المسار التنظيمي الموثَّق في متتبع DLA Piper العالمي لحماية البيانات يضع الجزائر بإحكام في مجموعة الاقتصادات الناشئة التي انتقلت من أطر اسمية لحماية البيانات إلى أنظمة تطبيق فعّال خلال نافذة من ثلاث إلى خمس سنوات.

بالنسبة للمؤسسات الجزائرية، نافذة الامتثال منخفض التكلفة هي الآن. ANPDP لا تزال في مرحلة البناء المؤسسي، والسوابق التطبيقية قليلة، والبنية التحتية للامتثال المُرسَّخة اليوم — DPO والاستجابة للاختراقات وحوكمة DPIA وتصريحات ANPDP — تمثّل موقفاً دفاعياً يخدم المؤسسات في الجولة القادمة من التعديلات. انتظار إجراء تطبيقي أو حادث اختراق لتحفيز الاستثمار في الامتثال هو المسار الأكثر تكلفة المتاح.

تابعوا AlgeriaTech على LinkedIn للتحليلات التقنية المهنية تابعوا على LinkedIn
تابعونا @AlgeriaTechNews على X للحصول على أحدث تحليلات التكنولوجيا تابعنا على X

إعلان

الأسئلة الشائعة

ما الموعد النهائي للإشعار بالاختراق بموجب القانون الجزائري 25-11؟

يجب على مزودي الخدمات إشعار كل من الهيئة الوطنية لحماية البيانات الشخصية (ANPDP) والأفراد المتضررين خلال 5 أيام تقويمية من اكتشاف اختراق يتضمن إتلافاً أو فقداناً أو تغييراً أو إفصاحاً أو وصولاً غير مصرّح به للبيانات الشخصية. في الاختراقات عالية المخاطر، يجب أن يكون الإشعار الموجَّه لأصحاب البيانات مكتوباً بلغة واضحة ومبسّطة. تبدأ نافذة الـ 5 أيام من تاريخ الاكتشاف، لا تاريخ وقوع الاختراق ذاته.

هل يُلزم القانون 25-11 جميع الشركات الجزائرية بتعيين مسؤول حماية البيانات؟

نعم. خلافاً لـ GDPR الأوروبي الذي يقصر تعيين DPO الإلزامي على فئات محددة من المعالجين (المعالجة بالجملة والبيانات الحساسة والجهات العامة)، يُدخل تعديل القانون 25-11 الجزائري ولاية DPO أوسع. يمكن أن يكون DPO موظفاً داخلياً (مستشار قانوني أو مسؤول امتثال) أو استشارياً خارجياً، لكن يجب أن يُعيَّن رسمياً بسلطة موثّقة واستقلالية تشغيلية. يجب توثيق التعيين ذاته كجزء من سجلات أنشطة المعالجة.

ما العقوبات التي تمتلك ANPDP صلاحية فرضها في الإطار المُعدَّل؟

تستطيع ANPDP فرض عقوبات إدارية باستقلالية: تحذيرات وإشعارات رسمية وغرامات. بالنسبة للمخالفات التي تبلغ العتبة الجنائية، يمكن للمدعين العامين مطالبة بعقوبات تتراوح بين 20,000 و1,000,000 دينار غرامات و/أو من شهرَين إلى 5 سنوات سجن. المسارَان مستقلّان: إجراء إداري لـ ANPDP لا يمنع إحالة جنائية لاحقة، والعكس صحيح. يجعل هذا المزيج عدم الامتثال للقانون 25-11 خطراً قانونياً جوهرياً لا مجرد إزعاج تنظيمي.

المصادر والقراءات الإضافية