⚡ Points Clés

La loi 25-11 du 24 juillet 2025 introduit l’article 45 bis 6 qui impose une analyse d’impact relative à la protection des données (AIPD) documentée pour tout traitement à haut risque. Les équipes conformité doivent disposer d’un registre AIPD, d’un modèle unique à l’échelle de l’entreprise, d’un protocole de consultation préalable et d’équipes produit formées — pas d’un classeur dormant. Les inspecteurs de l’ANPDP peuvent demander le dossier lors de tout contrôle.

En résumé: Les responsables conformité algériens devraient bâtir un registre AIPD et standardiser un modèle unique avant la prochaine vague d’inspections de l’ANPDP.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
La loi 25-11 du 24 juillet 2025 est la mise à jour la plus conséquente du régime algérien de protection des données depuis sept ans et s’applique désormais à pratiquement tout responsable de traitement du secteur privé.
Calendrier d’action
Immédiat
L’article 45 bis 6 est en vigueur ; les responsables menant des traitements à haut risque sans AIPD documentée sont techniquement non conformes et devraient documenter rétroactivement sans délai.
Parties prenantes clés
DPO, responsables conformité, CTO, chefs de produit
Type de décision
Tactique
Cet article est un guide opérationnel pas-à-pas qui traduit une obligation légale en flux de travail, et non un exercice de priorisation stratégique.
Niveau de priorité
Élevé
Les inspections de l’ANPDP sur le terrain sont actives et le registre AIPD est l’un des premiers documents demandés ; un dossier manquant crée une exposition directe à l’application.

En bref: Les équipes conformité algériennes devraient bâtir un registre AIPD, adopter un modèle unique pour toutes les unités métier, prédéfinir leur protocole de consultation préalable de l’ANPDP et former les équipes produit et ingénierie à repérer les déclencheurs AIPD. Traiter les AIPD comme un flux vivant — pas comme un formulaire ponctuel — est ce qui sépare une inspection réussie d’une mise en demeure.

Ce que demande réellement l’article 45 bis 6 aux responsables algériens

La loi n° 25-11 du 24 juillet 2025, modifiant et complétant la loi 18-07 du 10 juin 2018, introduit une obligation d’analyse d’impact relative à la protection des données qui n’existait pas dans le cadre algérien d’origine. Selon le guide expert CMS, le nouvel article 45 bis 6 impose aux responsables d’évaluer « les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » avant que ces traitements ne commencent.

L’AIPD est donc un document ex-ante, et non un rapport post-incident. Elle doit être finalisée avant l’activation des flux de données — qu’il s’agisse d’une nouvelle plateforme analytique RH, d’un modèle de scoring client, d’un déploiement de vidéosurveillance, d’un contrôle d’accès biométrique ou d’un moteur de personnalisation marketing. Les responsables qui traitent déjà ces données sans AIPD sont techniquement non conformes et devraient documenter rétrospectivement l’analyse de manière prioritaire.

Quand une AIPD est-elle requise sous la loi 25-11

Le droit algérien, comme le RGPD dont il s’inspire, n’énumère pas chaque déclencheur. Il utilise un test fondé sur le risque. Les équipes conformité devraient considérer les catégories suivantes comme déclenchant une AIPD obligatoire par défaut :

  • Traitement à grande échelle de données sensibles : dossiers médicaux, identifiants biométriques (empreintes, visage, iris), données pénales, appartenance religieuse ou politique, affiliation syndicale.
  • Surveillance systématique de zones publiques : vidéosurveillance étendue, géolocalisation, suivi de productivité des employés.
  • Profilage et décisions automatisées : scoring de crédit, scoring de fraude, filtres de recrutement, prédicteurs de churn, filtres d’admission.
  • Personnes vulnérables : données d’enfants, données patients, données salariés lorsque le déséquilibre de pouvoir est significatif.
  • Nouvelles technologies : modèles d’IA/ML entraînés sur des données personnelles, systèmes d’accès biométrique, déploiements IoT à grande échelle, identité sur blockchain, transferts transfrontaliers.

L’Autorité conserve le pouvoir de publier sa propre liste d’opérations soumises à AIPD obligatoire. En attendant, l’heuristique sûre est la suivante : si un employé ou un client raisonnable serait surpris que les données soient traitées de cette manière, lancez l’AIPD.

Le dossier que les inspecteurs de l’ANPDP attendent

Une AIPD n’est pas une note d’une page. La loi modifiée la traite comme le document de preuve central pour les traitements à haut risque. Un dossier AIPD défendable contient :

  1. Description du traitement — finalités, catégories de données, catégories de personnes concernées, destinataires, durées de conservation, destinations de transfert.
  2. Évaluation de la nécessité et de la proportionnalité — pourquoi le traitement est nécessaire, pourquoi des alternatives moins intrusives ont été écartées.
  3. Analyse des risques — probabilité et gravité du préjudice (vol d’identité, discrimination, perte de confidentialité, préjudice financier ou social).
  4. Mesures de mitigation — techniques (chiffrement, pseudonymisation, contrôle d’accès) et organisationnelles (formation, contrats, journaux d’audit).
  5. Évaluation du risque résiduel — ce qui reste après mitigation, et si ce risque résiduel justifie une consultation préalable de l’ANPDP.
  6. Visa du DPO — l’avis écrit du délégué à la protection des données, que l’article 45 bis 6 ancre implicitement via le rôle de supervision du DPO.
  7. Calendrier de revue — les AIPD sont des documents vivants et doivent être revisitées en cas de changement matériel du traitement.

Les équipes conformité qui opèrent déjà sous l’article 35 du RGPD (filiales de groupes européens, exportateurs vers l’UE, multinationales avec des opérations algériennes) peuvent largement réutiliser leur modèle AIPD existant — le cadre algérien a été délibérément conçu pour être interopérable.

Publicité

Ce qui déclenche la consultation préalable de l’ANPDP

La règle la plus importante de l’article 45 bis 6 sur le plan opérationnel est l’obligation de consultation préalable. Selon le guide CMS, les responsables doivent consulter l’Autorité nationale de protection des données à caractère personnel (ANPDP) avant de commencer le traitement dans deux situations :

  1. L’AIPD montre un risque résiduel élevé que le responsable n’a pas pu atténuer.
  2. Le traitement présente un risque élevé en raison « des mécanismes ou technologies utilisés » — formule fourre-tout qui couvre les déploiements d’IA récents, les grands systèmes biométriques, et autres.

La consultation préalable n’est pas un tampon. L’ANPDP peut exiger des modifications, imposer des conditions, ou refuser purement et simplement le traitement. Les équipes conformité devraient prévoir un délai de plusieurs semaines au minimum et soumettre le dossier AIPD complet avec la demande de consultation.

Ce que cela signifie pour les équipes conformité algériennes

La loi 25-11 transforme l’AIPD d’un concept théorique en une obligation documentée que les inspecteurs de l’ANPDP peuvent demander lors d’un contrôle sur le terrain. La bonne réponse est opérationnelle, pas aspirationnelle.

1. Bâtir un registre AIPD avant d’en avoir besoin

Maintenez un registre central de toutes les opérations de traitement et étiquetez chacune avec un statut AIPD : Requise-Faite, Requise-En attente, ou Non requise-Documentée. Le mot « documentée » compte — quand un inspecteur demande pourquoi un traitement particulier n’a pas fait l’objet d’une AIPD, le responsable a besoin d’une justification écrite, pas d’un haussement d’épaules. Les entreprises de plus de 200 salariés découvrent typiquement 15 à 30 opérations distinctes lors du premier inventaire ; budgétez deux semaines de travail structuré pour les cartographier.

2. Adopter un modèle unique à l’échelle de l’organisation

Un modèle divergent par unité métier crée un langage de risque incohérent et complique l’examen par l’ANPDP. Choisissez un modèle — le modèle CNIL ou ICO de l’article 35 RGPD est une bonne base de départ puisque la loi algérienne a été harmonisée avec la pratique européenne — et imposez son usage à toutes les unités. Le DPO possède le modèle ; le responsable métier de chaque traitement rédige le fond ; le juridique et la sécurité revoient.

3. Construire dès maintenant le protocole de consultation préalable, pas au dernier moment

N’attendez pas la première AIPD à risque résiduel élevé pour rédiger la lettre de couverture et le processus de soumission de la consultation préalable. Définissez à l’avance qui signe au niveau exécutif, comment le dossier AIPD est emballé, quelle documentation technique de support est jointe, et quels sont les critères internes « go/no-go ». Les entreprises qui improvisent ratent leurs dates de lancement de plusieurs mois. Selon le résumé Algérie de DataGuidance, l’ANPDP signale une posture d’application plus active depuis son installation en août 2022 — l’engagement proactif fait désormais partie du coût de l’activité fondée sur la donnée.

4. Former les équipes produit et ingénierie aux déclencheurs AIPD

Les équipes conformité ne peuvent pas mener les AIPD seules. Le signal qu’une AIPD est nécessaire vient presque toujours d’un product manager ou d’un ingénieur ajoutant un nouveau flux de données. Une formation de 60 minutes parcourant la liste des déclencheurs, le modèle, et un exemple réel évitera 80 % des urgences conformité de fin de cycle. L’investissement est faible ; l’alternative est un lancement produit bloqué au dernier moment par un veto du DPO.

Une checklist de préparation à la conformité

Le but de l’article 45 bis 6 n’est pas la paperasse. Il s’agit de forcer les responsables à réfléchir — tôt, concrètement et par écrit — à la manière dont leur traitement affecte les personnes dont les données sont concernées. Les entreprises qui adoptent cet état d’esprit constatent que les AIPD font émerger des défauts de conception qui deviendraient autrement des incidents, des plaintes au régulateur ou des actions collectives.

Deux points pratiques de synthèse :

  • Une AIPD n’est pas un événement ponctuel. C’est un artefact vivant qui doit être revisité dès que le traitement change — nouvelle catégorie de données, nouveau prestataire, nouvelle juridiction, nouvelle architecture de modèle. Intégrez une cadence de revue à 12 mois dans le registre AIPD et nommez des responsables.
  • Le DPO est l’interface d’audit. Quand l’ANPDP arrive pour une inspection sur le terrain, le DPO est la personne qui guide l’inspecteur à travers le registre AIPD, les modèles, le dossier de consultation préalable et les décisions de risque résiduel. Investissez dans l’autorité, la formation et les lignes de reporting du DPO en conséquence.

Pour les responsables qui opèrent déjà sous la loi 18-07 depuis 2018, la loi 25-11 n’est pas une révolution — c’est une mise à niveau documentaire. Les règles de traitement étaient déjà là. Ce qui a changé, c’est que le dossier de preuves est désormais obligatoire et que les inspecteurs peuvent demander à le voir.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Quand la loi 25-11 impose-t-elle une AIPD ?

L’article 45 bis 6 impose une AIPD pour tout traitement « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». En pratique cela inclut le traitement à grande échelle de données sensibles (santé, biométrie), la surveillance systématique (vidéosurveillance, géolocalisation), le profilage et les décisions automatisées (scoring de crédit, filtres de recrutement), le traitement de données d’enfants ou de patients, et les nouvelles technologies telles que les modèles d’IA/ML entraînés sur des données personnelles. L’ANPDP conserve le pouvoir de publier sa propre liste d’opérations à AIPD obligatoire.

Qu’est-ce qui déclenche la consultation préalable de l’ANPDP sous la loi 25-11 ?

Deux situations imposent au responsable de consulter l’ANPDP avant de commencer le traitement : (1) lorsque l’AIPD montre un risque résiduel élevé que le responsable n’a pas pu atténuer, et (2) lorsque le traitement présente un risque élevé en raison des mécanismes ou technologies utilisés — formule fourre-tout qui couvre les déploiements d’IA récents et les grands systèmes biométriques. Prévoyez des délais de consultation de plusieurs semaines au minimum.

Que contient un dossier AIPD prêt pour l’ANPDP ?

Une AIPD défendable contient une description du traitement, une évaluation de nécessité et de proportionnalité, une analyse des risques (probabilité et gravité du préjudice), des mesures de mitigation (techniques et organisationnelles), une évaluation du risque résiduel, le visa écrit du DPO et un calendrier de revue. Les entreprises opérant déjà sous l’article 35 du RGPD peuvent largement réutiliser leur modèle existant — le cadre algérien a été conçu pour être interopérable avec la pratique européenne.

Sources et lectures complémentaires