Ce que la loi 25-11 change pour les flux de données transfrontaliers
Le cadre algérien de protection des données personnelles est en vigueur depuis l’adoption de la loi 18-07 en juin 2018. À son cœur, la loi s’applique à toute entité publique ou privée qui collecte, stocke ou traite des données personnelles au moyen de dispositifs situés en Algérie — ce qui concerne les entreprises SaaS opérant dans le pays, les plateformes fintech traitant des données de paiement, et les opérateurs télécoms gérant des systèmes liés aux abonnés. Les responsables du traitement étrangers ayant des utilisateurs algériens entrent également dans le champ d’application et doivent désigner un représentant local.
La loi n° 25-11, adoptée par le Parlement algérien en juillet 2025, modernise le cadre de 2018 simultanément sur plusieurs dimensions : elle rend obligatoire la désignation d’un Délégué à la Protection des Données (DPD), introduit des Analyses d’Impact sur la Protection des Données (AIPD) obligatoires pour les traitements à haut risque, et renforce la notification des violations (5 jours pour notifier l’ANPDP après découverte). Mais pour les entreprises ayant des dépendances cloud internationales, le changement le plus lourd de conséquences opérationnelles concerne le chapitre sur les transferts transfrontaliers.
En vertu de la loi 18-07, la condition d’adéquation était déjà présente : les transferts de données personnelles à l’étranger exigeaient que le pays destinataire assure un « niveau suffisant de protection de la vie privée et des droits fondamentaux ». La loi 25-11 renforce l’application de cette règle en la liant explicitement à la posture d’application de l’ANPDP, qui s’est intensifiée depuis que l’autorité a commencé ses inspections sur site des entreprises du secteur privé en février 2024. Trois catégories de transferts nécessitent désormais une analyse rigoureuse :
- Transferts vers des pays adéquats — autorisés sans autorisation séparée de l’ANPDP, mais le responsable du traitement doit documenter la base d’adéquation dans son registre des traitements.
- Transferts vers des pays non adéquats — nécessitent une autorisation préalable de l’ANPDP, sauf si l’une des exceptions légalement définies s’applique (obligation légale, intérêt vital, exécution d’un contrat, procédures judiciaires).
- Transferts mettant en danger la sécurité nationale ou les intérêts nationaux vitaux — inconditionnellement interdits, quelle que soit l’autorisation.
L’impact pratique pèse le plus sur les entreprises algériennes utilisant des plateformes cloud basées aux États-Unis (AWS, Azure, Google Cloud) pour le traitement de données personnelles, et sur celles intégrant des outils SaaS européens qui traitent des données d’abonnés algériens sur une infrastructure européenne.
La procédure d’autorisation de l’ANPDP : ce que les entreprises font concrètement
La procédure d’autorisation de l’ANPDP n’est pas une approbation globale de l’ensemble du périmètre de traitement de données d’une entreprise. Chaque activité de traitement — ou catégorie d’activités de traitement — impliquant des transferts transfrontaliers doit être déclarée séparément. L’autorité distingue deux voies :
Voie déclarative : Couvre le traitement standard de données personnelles qui ne répond pas aux critères de haut risque. Le responsable du traitement dépose une déclaration via le portail en ligne de l’ANPDP, décrivant l’activité de traitement, les catégories de données, la finalité et les destinataires (y compris les sous-traitants étrangers). L’ANPDP enregistre la déclaration et délivre un récépissé. Aucun délai d’attente avant que l’activité puisse commencer.
Voie d’autorisation : Requise pour les traitements à haut risque — définis comme impliquant des données sensibles (santé, biométrique, financières), des transferts internationaux vers des pays non adéquats, ou des interconnexions de fichiers répondant à des intérêts publics différents. Le responsable du traitement soumet un dossier d’autorisation complet : enregistrement de l’entreprise, AIPD, cartographie des flux de données, description des mesures de protection (clauses contractuelles, chiffrement, contrôles d’accès), et informations sur les pratiques de gouvernance des données du sous-traitant étranger. L’ANPDP examine et délivre une autorisation écrite avant que l’activité de traitement puisse commencer.
Publicité
Ce que cela signifie pour les entreprises technologiques algériennes
1. Cartographiez chaque accord de traitement tiers impliquant un sous-traitant étranger
La première action de conformité est un inventaire des flux de données transfrontaliers. Pour la plupart des entreprises algériennes SaaS et fintech, cela signifie examiner systématiquement chaque outil, intégration API et service cloud où des données personnelles — noms de clients, coordonnées, données de paiement, informations de santé — sont envoyées vers ou stockées sur une infrastructure hors d’Algérie. L’inventaire doit inclure : le nom du sous-traitant, le pays d’établissement, les catégories de données transférées, la finalité, et si un Accord de Traitement des Données (ATD) existe. Cet inventaire constitue également la base du registre des activités de traitement désormais exigé par la loi 25-11.
2. Évaluez le statut d’adéquation pour chaque pays destinataire
Une fois l’inventaire établi, chaque pays destinataire doit être évalué au regard de la position d’adéquation actuelle de l’ANPDP. L’UE, par exemple, maintient sa propre liste d’adéquation — mais la liste algérienne de l’ANPDP peut différer. Pour les pays non inscrits sur la liste adéquate de l’ANPDP (dont les États-Unis au milieu de 2025), le transfert nécessite soit une autorisation préalable de l’ANPDP, soit l’une des exceptions légales. Les entreprises ne doivent pas présumer que la certification ISO 27001 ou la conformité SOC 2 d’un sous-traitant constitue une adéquation — certification technique et adéquation légale sont des notions distinctes.
3. Déposez les autorisations ANPDP pour les sous-traitants américains et autres pays non adéquats avant la fin de la période de grâce
Les entreprises transférant actuellement des données personnelles vers des sous-traitants de pays non adéquats sans autorisation sont en situation de non-conformité technique. La loi 25-11 ne spécifie pas de délai de grâce formel pour les relations de traitement existantes. Le calendrier d’application de l’ANPDP — qui a commencé avec des inspections sur site en 2024 et devrait s’intensifier jusqu’en 2026 — signifie que les entreprises s’appuyant sur une tolérance informelle doivent déposer des demandes d’autorisation pour leurs flux de données les plus importants en priorité.
4. Mettez à jour les contrats avec les fournisseurs SaaS et cloud étrangers
La loi 25-11 exige que lorsque des données personnelles sont traitées par un sous-traitant tiers (y compris étranger), le responsable du traitement détienne un accord de traitement des données écrit. Les équipes juridiques et achats doivent identifier quels contrats de sous-traitants étrangers nécessitent un amendement et ouvrir des cycles de renégociation — en utilisant le levier du processus d’autorisation (qui exige des garanties contractuelles documentées) pour obtenir des conditions conformes.
Sur quoi porte l’attention de l’ANPDP en matière d’application
Le premier cycle d’inspections sur site de l’ANPDP, annoncé en février 2024, a ciblé les entités du secteur public et les grandes entreprises privées dans les télécommunications, la banque et l’assurance. La deuxième phase, s’étendant jusqu’en 2026, devrait inclure les entreprises privées de taille moyenne et les opérateurs tech, notamment ceux ayant des flux de données internationaux.
Les sanctions pénales prévues par la loi 18-07 — telles que renforcées par la loi 25-11 — vont de deux mois à cinq ans d’emprisonnement et des amendes de 20 000 à 1 000 000 DZD. La voie administrative comprend des avertissements, des mises en demeure et la suspension ou le retrait définitif de l’autorisation de traitement. L’investissement de conformité requis est réel mais gérable : un inventaire des flux de données, un dossier d’autorisation pour les deux ou trois relations de transfert les plus à risque, et des contrats de sous-traitance mis à jour.
Foire aux questions
Q : Les entreprises algériennes qui utilisent Google Workspace ou Microsoft 365 ont-elles besoin d’une autorisation de l’ANPDP ?
Ces plateformes traitent des données sur une infrastructure située en partie dans l’UE et en partie aux États-Unis. Puisque les États-Unis ne figurent pas sur la liste d’adéquation de l’ANPDP, la composante de traitement américaine de ces services relève de la voie d’autorisation pour les données personnelles traitées. Les entreprises algériennes doivent examiner les options de résidence des données proposées par ces fournisseurs et déposer une autorisation ANPDP couvrant les composantes de transfert international restantes.
Q : Qu’est-ce qui constitue un « intérêt national vital » interdisant inconditionnellement le transfert ?
La loi 18-07 et la loi 25-11 ne fournissent pas de définition précise. L’interdiction est interprétée largement : les transferts qui pourraient exposer des données personnelles de citoyens algériens à un accès gouvernemental étranger de manière à compromettre la sécurité nationale, l’ordre public ou l’intégrité des infrastructures critiques. Un conseil juridique avec expérience auprès de l’ANPDP doit évaluer si des activités de traitement spécifiques approchent cette limite avant de déposer une demande d’autorisation.
Q : Une entreprise peut-elle commencer à transférer des données pendant que sa demande d’autorisation est en cours d’examen par l’ANPDP ?
Non. La voie d’autorisation exige une autorisation écrite préalable avant que l’activité de traitement commence. Les responsables du traitement doivent obtenir l’approbation écrite de l’ANPDP avant de commencer tout traitement relevant de la catégorie haut risque/transfrontalier.
Sources et lectures complémentaires
- Guide pratique sur la protection des données en Algérie — CMS
- Loi algérienne sur la protection des données 18-07 et loi 25-11 — CookieYes
- DLA Piper Protection des données : Algérie
- Alerte de politique numérique : Algérie — Digital Policy Alert
- Présentation de la loi algérienne 18-07 sur la protection des données — FormDZ
