لماذا يُعدّ قانون 25-11 إشارةً للسوق وليس مجرد عبء امتثال
أصدرت الجزائر القانون رقم 25-11 في 24 يوليو 2025، معدّلاً القانون الأساسي 18-07 الصادر في 10 يونيو 2018 المتعلق بحماية البيانات الشخصية. لا يكتفي التعديل بتشديد القواعد، بل يُعيد هيكلة بنية الامتثال بطريقة تتماشى عن كثب مع اللائحة الأوروبية العامة لحماية البيانات (GDPR)، مُنشئاً مجموعة من الأدوار المؤسسية الجديدة التي تحتاج الشركات الجزائرية الآن إلى شغلها.
تُشرف الهيئة الوطنية لحماية البيانات الشخصية (ANPDP) التي أُسّست في أغسطس 2023 على جميع أنشطة الامتثال، بما فيها عمليات التفتيش والتراخيص والتنفيذ. مع تعديل 2025، يتّسع نطاق صلاحياتها: يتعيّن على المتحكمين في البيانات والمعالجين إثبات المساءلة بدلاً من الاكتفاء بالإخطار.
بالنسبة للشركات الناشئة، تشبه هذه اللحظة المرحلة التي أعقبت سريان GDPR الأوروبي عام 2018 — فراغ في الامتثال أفرز صناعة كاملة من الأدوات والخدمات الاستشارية ومنتجات حماية الخصوصية. السوق الجزائري أبكر وأقل ازدحاماً، ويعمل في ظل جهة تنظيمية لا تزال تبني آليات تطبيقها. نافذة الميزة التنافسية للمُبادرين مفتوحة الآن.
ما الذي يستلزمه التعديل فعلياً
1. تعيين مسؤول حماية البيانات — وبناء خط أنابيب التوظيف هذا الآن
يُلزم قانون 25-11 المتحكمين والسلطات العامة بتعيين مسؤول حماية البيانات. يجب اختيار المسؤول بناءً على “الخبرة المهنية في حماية البيانات”، ويضطلع بأربع مهام أساسية: تقديم المشورة بشأن الامتثال، ومراقبة الالتزام بالسياسات الداخلية، والإسهام في تقييمات أثر حماية البيانات (DPIA)، والعمل نقطةَ اتصال مع ANPDP.
والأهم أن المتحكمين الأجانب الذين يعالجون بيانات باستخدام وسائل مُقيمة في الجزائر ملزمون بتعيين ممثل جزائري — مما يفتح مجالاً خاصاً للمكاتب الاستشارية والقانونية المحلية لتموضعها كوسطاء إلزاميين للجهات الدولية الراغبة في دخول السوق الجزائرية.
الأثر على المواهب فوري. لا توجد حالياً برامج شهادة معتمدة لمسؤولي حماية البيانات مُدرجة علناً من قِبل ANPDP. تمتلك الشركات الناشئة في تقنيات الموارد البشرية والقانونية والشهادات المهنية مساراً مباشراً لسد هذه الفجوة. يمكن لدورة شهادة مسؤول حماية البيانات المُصمَّمة وفق متطلبات القانون 25-11 الجزائري — المُقدَّمة عبر الإنترنت بالعربية والفرنسية — أن تستقطب الطلب من آلاف الشركات الجزائرية التي باتت تحتاج إلى تعيين مسؤول مؤهل.
2. تطبيق نظام إشعار الاختراق خلال 5 أيام — وبناء البنية التحتية حوله
الحكم الأكثر مطالبةً من الناحية التشغيلية في القانون 25-11 هو نافذة إشعار الاختراق. يتعيّن على مزودي الخدمات إخطار ANPDP والأشخاص المتضررين في غضون 5 أيام من اكتشاف أي اختراق يتضمن إتلافاً أو فقداناً أو تعديلاً أو وصولاً غير مصرح به إلى البيانات الشخصية. تستلزم الاختراقات عالية المخاطر إشعاراً “بعبارات واضحة وبسيطة” — مما يستدعي نموذج تواصل منظماً، لا مجرد بريد إلكتروني عشوائي.
خمسة أيام هي مهلة صارمة بأي معيار. تمنح GDPR المتحكمين الأوروبيين 72 ساعة لإخطار السلطات الرقابية — النافذة الجزائرية أقصر منها وتشترط كذلك الإشعار الفوري للأشخاص المتضررين. تفتقر معظم الشركات الجزائرية إلى إجراءات استجابة للحوادث تُمكّنها من الوفاء بهذا المعيار. مما يُتيح فرصة منتج امتثال واضحة: أدوات أتمتة كشف الاختراقات والإشعار بها، ومنصات إدارة نماذج الإشعار، وخدمات استجابة الحوادث المُدارة المُصممة خصيصاً لصيغة تقارير ANPDP.
ينبغي لأي شركة ناشئة تعمل في مجال الامتثال المتاخم للأمن السيبراني أن تعتبر هذا الحكم حالة الاستخدام المحورية. الانتداب التنظيمي محدد، والمهلة قصيرة، والعقوبة على المخالفة تشمل عقوبات جنائية تتراوح بين 2 أشهر و5 سنوات سجناً وغرامات من 20,000 دج إلى 1,000,000 دج.
3. إجراء تقييمات أثر حماية البيانات — إنشاء الأدوات التي تجعلها قابلة للتكرار
الحوكمة القائمة على المخاطر هي التحوّل الهيكلي الثالث. يتوافق القانون 25-11 مع اشتراط GDPR بأن يُجري المتحكمون تقييم أثر قبل أي معالجة “تُشكّل خطراً واضحاً على الحقوق والحريات الأساسية للأفراد”. يتضمن دور مسؤول حماية البيانات تقديم المشورة في هذه التقييمات، غير أن المتحكم يظل مسؤولاً عن تنفيذها فعلياً.
تستنزف تقييمات أثر حماية البيانات الكثير من الجهد دون أدوات مساعدة. في أوروبا، نشأت صناعة كاملة من منصات أتمتة تقييمات الأثر تحديداً لأن إجراء تقييمات يدوية لكل نشاط معالجة جديد لا يمكن توسيع نطاقه. تتاح للشركات الناشئة الجزائرية فرصة بناء نماذج تقييم أثر ومنظومات عمل ومكتبات تقييم مُعيَّرة وفق النص القانوني المحدد للقانون 25-11 وتوجيهات ANPDP الناشئة — بدلاً من محاولة تكييف أدوات أوروبية مُصمَّمة لنص تنظيمي مختلف.
إعلان
ما يجب على الشركات الناشئة الجزائرية فعله
1. رسم خريطة فجوة الامتثال قبل المنافسين
قبل بناء أي منتج، استطلع الفجوة بين متطلبات القانون 25-11 والقدرات الراهنة للشركات. وفقاً لتقييم استعداد التجارة الإلكترونية الصادر عن UNCTAD، لا تزال البنية التحتية للاقتصاد الرقمي الجزائري في طور النضج — مما يعني أن حتى الشركات الكبرى تنطلق من مستوى امتثال منخفض. أجرِ 10 إلى 15 مقابلة مع مسؤولين قانونيين وتقنيين وموارد بشرية في شركات جزائرية متوسطة الحجم، وطرح ثلاثة أسئلة: هل لديكم مسؤول حماية بيانات حالياً؟ هل تمتلكون إجراءات إشعار بالاختراق؟ هل أجريتم تقييم أثر حماية البيانات؟ ستُحدد الإجابات خارطة طريق منتجك.
2. التصميم لصيغة تقارير ANPDP من اليوم الأول
تنشر ANPDP توجيهاتها الإجرائية تدريجياً. الشركات الناشئة التي تنخرط بشكل استباقي — بالمشاركة في استشارات ANPDP وقراءة كل تعميم وتقديم طلبات الترخيص المبكرة — ستفهم صيغ التقارير المفضلة لدى الجهة التنظيمية قبل منافسيها. ANPDP لم تنشر بعد قوائم الولايات القضائية الملائمة ولا إجراءات الترخيص بالتحويل، مما يعني أن من يساعد الشركات على التنقل في هذه المتطلبات حين تصدر التوجيهات سيتمتع بميزة زمنية حاسمة.
3. استهداف مجال الممثل الأجنبي أولاً
اشتراط تعيين الممثل الجزائري هو أسرع فرصة قابلة للتسييل في القانون. يُنشئ خدمةً مدفوعة إلزامية — مشابهة لنظام ممثل المادة 27 من GDPR الذي أفرز شركات متخصصة في أوروبا. مكتب قانوني أو شركة امتثال جزائرية تُسجّل نفسها مزوّداً معتمداً للتمثيل وتبني عملية تأهيل رقمية مبسطة للشركات الأجنبية يمكنها الحصول على رسوم استبقاء سنوية متكررة بتكاليف استقطاب منخفضة. الشركات الأجنبية الداخلة إلى الجزائر تحتاج هذه الخدمة اليوم — لا بعد 12 شهراً.
موقع هذا التطور في مسيرة اقتصاد البيانات الجزائري
لا يوجد القانون 25-11 في معزل عن سياقه. يندرج ضمن نمط أشمل: الجزائر تُحدِّث منظومتها التنظيمية بطريقة تعكس المعايير الدولية بصورة متزايدة. ANPDP فاعلة، والنص القانوني منشور، وساعة الامتثال تدق. للشركات الناشئة الجزائرية، ليس السؤال ما إذا كان ينبغي التعامل مع هذا القانون، بل ما إذا كان التعامل بوصفها مطوّري منتجات أو مزودي خدمات أو مجرد كيانات ملتزمة.
التجربة الأوروبية عقب GDPR دليل مفيد. أفرزت موجة الامتثال سوقاً للتقنيات الخصوصية يُقدَّر بـ 1.1 مليار يورو في أوروبا خلال ثلاث سنوات من التطبيق. سيكون السوق الجزائري أصغر حجماً، لكن كثافة المنافسة أيضاً أدنى بكثير. شركة ناشئة تصبح المزوّد الافتراضي لتدريب مسؤولي حماية البيانات، أو منصة إشعار الاختراق الافتراضية، أو الممثل الجزائري الافتراضي للمتحكمين الأجانب، ستواجه شبه منافسة مباشرة لمدة 18 إلى 24 شهراً على الأقل.
الأسئلة الشائعة
ما الموعد النهائي لتعيين مسؤول حماية البيانات بموجب القانون 25-11؟
دخل القانون 25-11 حيز التنفيذ في يوليو 2025، مما يعني أن تعيين مسؤولي حماية البيانات للمتحكمين والسلطات العامة بات مطلوباً قانونياً. لا توجد فترة سماح منشورة من ANPDP. الشركات التي لم تُعيّن بعد مسؤول حماية بيانات مؤهلاً تعمل حالياً خارج نطاق متطلبات القانون.
ماذا يحدث إذا فوّتت شركة جزائرية نافذة إشعار الاختراق البالغة 5 أيام؟
يُعرّض تجاوز الموعد النهائي للإخطار الشركةَ لعقوبات إدارية (تحذيرات، إشعارات رسمية، سحب ترخيص المعالجة) وعقوبات جنائية تشمل السجن من شهرين إلى خمس سنوات وغرامات من 20,000 دج إلى 1,000,000 دج. تتمتع ANPDP بصلاحية التحقيق للكشف عن حالات عدم الامتثال.
هل ينطبق القانون 25-11 على الشركات الأجنبية التي تعالج بيانات المقيمين الجزائريين؟
نعم. يتعيّن على المتحكمين الأجانب الذين يعالجون البيانات باستخدام وسائل مُقيمة في الجزائر تعيين ممثل جزائري. يعمل هذا الممثل نقطةَ اتصال مع ANPDP ويتحمل مسؤولية ضمان الوفاء بالتزامات الامتثال المحلية نيابةً عن المتحكم الأجنبي.
المصادر والقراءات الإضافية
🔗 مقالات ذات صلة
القانون 25-11: ترقية حماية البيانات في الجزائر — قائمة الامتثال المؤسسي
القانون الجزائري 25-11: قاعدة الإشعار في 5 أيام التي تغيّر كل شيء
المرسوم 25-320: حوكمة البيانات الوطنية للتصنيف والأمن في الجزائر
