Décret 25-320 : classification des données en Algérie

Publié le juin 27, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Le décret présidentiel n° 25-320 du 30 décembre 2025 crée le premier cadre national de gouvernance des données en Algérie, définissant comment les administrations publiques classent, cataloguent et échangent les données de manière sécurisée. Les prestataires privés qui développent des logiciels, hébergent des systèmes ou traitent des informations pour le secteur public hériteront de ces règles de classification via leurs contrats, dans un pays qui a bloqué 70 millions de cyberattaques en 2024.

En résumé : Construisez ce trimestre un schéma de classification des données à quatre niveaux et un catalogue de données pour franchir au plus vite les revues de sécurité des marchés publics.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

Assessment: Élevée. Review the full article for detailed context and recommendations.

Horizon d’action
6-12 mois
▾

Assessment: 6-12 mois. Review the full article for detailed context and recommendations.

Parties prenantes clés
Directeurs informatiques, RSSI, DPO, fondateurs SaaS, intégrateurs du secteur public, hébergeurs
▾

Assessment: Directeurs informatiques, RSSI, DPO, fondateurs SaaS, intégrateurs du secteur public, hébergeurs. Review the full article for detailed context and recommendations.

Type de décision
Stratégique
▾

Assessment: Stratégique. Review the full article for detailed context and recommendations.

Niveau de priorité
Élevé
▾

Assessment: Élevé. Review the full article for detailed context and recommendations.

En bref : Si votre entreprise vend des logiciels, de l’hébergement ou du traitement de données à un ministère, une banque publique ou une entreprise publique algérienne, construisez ce trimestre un schéma de classification des données à quatre niveaux et un catalogue de données. Le décret 25-320 vous atteindra via vos contrats, et les prestataires qui classent tôt franchiront le plus vite les revues de sécurité des marchés publics.

Un décret discret aux conséquences majeures pour les prestataires

Alors que la plupart des grands titres sur la cybersécurité en Algérie sont allés au décret présidentiel n° 26-07 — le texte de janvier 2026 qui impose à chaque institution publique de créer une cellule de cybersécurité dédiée — un second texte, tout aussi lourd de conséquences, est passé bien plus discrètement. Le décret présidentiel n° 25-320 du 30 décembre 2025 établit un cadre national de gouvernance des données qui définit, pour la première fois, comment l’État algérien va classer ses données, les cataloguer et les faire circuler de manière sécurisée entre les administrations, selon le guide d’expert CMS sur la protection des données en Algérie.

Sur le papier, le décret vise les administrations publiques. En pratique, il s’enfonce profondément dans le secteur privé. Les intégrateurs, hébergeurs, prestataires de paie et éditeurs SaaS qui vendent aux ministères, aux banques publiques et aux entreprises publiques hériteront de ces règles de classification via leurs contrats. Si un client public doit étiqueter ses dossiers citoyens comme « restreints », le prestataire qui stocke, transmet ou sauvegarde ces dossiers devra respecter la même étiquette — avec les contrôles d’accès, le chiffrement et la journalisation qu’elle implique.

C’est le moment de prendre les devants. La classification des données est l’une des rares disciplines de sécurité qui s’autofinance : elle vous indique précisément quels systèmes méritent vos défenses les plus solides et lesquels peuvent fonctionner avec un dispositif plus léger. Pour un marché algérien qui a absorbé plus de 13 millions de tentatives de phishing en une seule année, selon les chiffres de Kaspersky cités par L’Algérie Aujourd’hui, savoir où résident vos données les plus précieuses fait la différence entre un incident maîtrisé et une fuite catastrophique.

Ce que le décret 25-320 exige réellement

Le décret s’inscrit dans un ensemble serré de textes de fin 2025 et début 2026 qui forment ensemble l’architecture moderne de cybersécurité de l’Algérie. Le décret n° 25-321, signé le même jour, a approuvé la Stratégie nationale de cybersécurité 2025-2029. Le décret n° 26-07 du 7 janvier 2026 a créé les cellules opérationnelles de cybersécurité au sein des institutions publiques. Et le décret plus ancien n° 20-05 — datant initialement de janvier 2020 et amendé le 10 novembre 2025 — définit les organes de gouvernance, le conseil de coordination stratégique et l’agence nationale de sécurité des systèmes d’information (ANSSI) qui opèrent sous l’autorité du ministère de la Défense nationale.

Le décret 25-320 constitue la couche « données » de cette architecture. Ses idées centrales sont simples :

Classification. Chaque jeu de données détenu par une administration publique reçoit une étiquette de sensibilité. Bien que les niveaux internes du décret soient de nature administrative, ils correspondent parfaitement au schéma à quatre niveaux que le reste du monde utilise sous la norme ISO 27001 — Public, Interne, Confidentiel et Restreint, comme le décrit le guide de classification 2026 de Konfirmity. Un communiqué de presse est Public ; une procédure interne est Interne ; le dossier fiscal d’un citoyen est Confidentiel ou Restreint.

Catalogage. Les administrations doivent tenir un inventaire de ce qu’elles détiennent et de l’endroit où ces données résident. On ne peut pas protéger — ni classer — des données que l’on n’a pas inventoriées.

Interopérabilité sécurisée. Lorsque les données circulent entre administrations, elles doivent emprunter des canaux contrôlés et authentifiés, adaptés à leur classification. Un dossier Restreint ne peut pas suivre le même chemin informel qu’un avis public.

Le lien avec le droit existant est explicite. Le décret rattache la gouvernance des données à la fois à la cybersécurité et à la protection des données personnelles au titre de la loi 18-07 du 10 juin 2018, que la loi n° 25-11 du 24 juillet 2025 a renforcée avec des délégués à la protection des données obligatoires, des registres de traitement et un délai de notification des violations de cinq jours. L’Autorité nationale de protection des données à caractère personnel (ANPDP), installée en août 2022, peut infliger des amendes et, dans les cas graves, des sanctions pouvant aller jusqu’à des peines pénales — un jeu de données personnelles mal classé n’est donc pas seulement un problème informatique, c’est une exposition juridique.

Pourquoi les prestataires ne peuvent pas attendre que le contrat les y oblige

Trois forces rendent la classification des données urgente pour les prestataires algériens dès maintenant, avant même qu’une clause spécifique n’apparaisse dans un appel d’offres.

D’abord, le volume des menaces est réel et croissant. L’Algérie a bloqué plus de 70 millions de cyberattaques en 2024 et figure parmi les 20 nations les plus ciblées au monde, selon les chiffres relayés par Africa Cybersecurity Mag. Les attaquants ne gaspillent pas leurs efforts sur des brochures publiques ; ils chassent les niveaux Confidentiel et Restreint. Un prestataire qui n’a pas séparé ces niveaux défend tout de manière identique — ce qui revient à ne rien défendre correctement.

Ensuite, la classification est le préalable à presque tous les autres contrôles. On ne peut pas appliquer un chiffrement, une gestion des accès ou des règles de conservation proportionnés tant qu’on ne connaît pas la sensibilité d’un dossier. Le contrôle de classification de l’information d’ISO 27001 (annexe A 5.12) intervient tôt dans tout effort de certification précisément parce que le reste de la norme en dépend, comme l’explique le guide de mise en œuvre d’Advisera. Une PME algérienne qui vise un certificat ISO 27001 pour décrocher de plus gros contrats se heurtera à cette exigence dès le premier jour.

Enfin, le secteur public est désormais un acheteur qui pose des questions. Avec des cellules de cybersécurité imposées dans chaque institution publique au titre du décret 26-07, les personnes qui rédigent les appels d’offres disposent de plus en plus d’un interlocuteur sécurité qui examine le traitement des données par les prestataires. Le prestataire capable de présenter un schéma de classification propre, un catalogue de données et des contrôles d’accès cohérents passera cette revue rapidement. Celui qui improvise échouera.

Ce que les prestataires algériens devraient faire maintenant

1. Construire un schéma de classification à quatre niveaux ce trimestre

Adoptez un modèle simple et défendable : Public, Interne, Confidentiel, Restreint. Rédigez une politique d’une page qui définit chaque niveau avec des exemples algériens concrets — un PDF marketing est Public, une note RH interne est Interne, les dossiers financiers d’un client sont Confidentiels, et les données d’identité ou de santé des citoyens sont Restreintes. Gardez le schéma assez simple pour qu’un employé non technique puisse l’appliquer correctement. Quatre niveaux constituent le juste équilibre recommandé dans la pratique ISO 27001 ; davantage de niveaux créent de la confusion, moins laissent les données sensibles sous-protégées. Désignez un propriétaire de données pour chaque système majeur, responsable des décisions d’étiquetage, et faites de la classification un champ obligatoire à la création de tout nouveau jeu de données.

2. Inventorier et cataloguer vos données avant que l’appel d’offres ne le fasse

On ne peut pas classer ce que l’on n’a pas trouvé. Menez un exercice de découverte sur l’ensemble de vos systèmes — bases de données de production, sauvegardes, lecteurs partagés, archives de messagerie et ordinateurs portables du personnel qui manipule les données clients. Produisez un catalogue qui consigne, pour chaque jeu de données, son contenu, son niveau de classification, son lieu de stockage, les personnes qui peuvent y accéder et la durée de conservation. Ce catalogue est exactement ce que le décret 25-320 attend des administrations publiques, et un prestataire qui en dispose déjà entre dans les revues de marchés publics avec le livrable le plus difficile déjà accompli. Révisez le catalogue au moins une fois par an et à chaque modification d’un système.

3. Attacher les contrôles aux étiquettes, et non à chaque système de façon identique

La classification ne sert à rien si les données Confidentielles bénéficient de la même protection qu’une page web publique. Associez chaque niveau à une base de contrôles définie. Les données Restreintes et Confidentielles doivent exiger le chiffrement au repos et en transit, l’authentification multifacteur, un accès basé sur les rôles limité au personnel qui en a réellement besoin, et une journalisation complète des accès. Les données Internes nécessitent un contrôle d’accès de base et des sauvegardes. Les données Publiques nécessitent une protection de l’intégrité afin qu’elles ne puissent pas être falsifiées. Cette approche proportionnée permet à une PME algérienne aux ressources limitées de dépenser son budget sécurité là où il compte — protéger les 5 % de données qui causeraient un réel préjudice en cas de fuite, plutôt que de tout surprotéger. Elle produit aussi exactement les preuves qu’une cellule de cybersécurité du secteur public demandera.

Où cela s’inscrit dans le tableau cyber plus large de l’Algérie

Le décret 25-320 parachève une logique amorcée par la Stratégie nationale de cybersécurité 2025-2029 et les cellules de cybersécurité du décret 26-07. La stratégie a fixé le cap, les cellules ont donné aux institutions des mains pour agir, et la gouvernance des données leur fournit une carte de ce qu’elles défendent. Pour les entreprises algériennes, c’est une véritable ouverture : les sociétés qui intègrent dès maintenant la classification des données seront celles à qui les clients publics confieront leurs systèmes les plus sensibles au cours des cinq prochaines années.

La classification des données est la fondation peu spectaculaire qui rend tout autre investissement de sécurité rentable. Elle est peu coûteuse à mettre en place, évolue avec l’entreprise et se traduit directement en avantage dans les marchés publics à mesure que le secteur public durcit ses exigences envers les prestataires. Les prestataires algériens qui traitent le décret comme une longueur d’avance — plutôt que d’attendre qu’une clause contractuelle ne les contraigne au travail — seront ceux qui rédigeront les références que leurs concurrents s’efforceront d’égaler.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Le décret 25-320 s’applique-t-il directement aux entreprises privées ?

Pas directement — le décret régit les administrations publiques. Mais ses exigences atteignent les prestataires privés via les contrats. Lorsqu’un ministère ou une banque publique classe ses données comme Confidentielles ou Restreintes, les prestataires qui stockent, transmettent ou traitent ces données doivent respecter la même classification et appliquer des contrôles cohérents. En pratique, toute entreprise vendant au secteur public devrait se préparer à se conformer.

Quelle est la différence entre la classification des données et les règles de notification de violation de la loi 25-11 ?

Elles fonctionnent ensemble mais résolvent des problèmes différents. La classification des données, au cœur du décret 25-320, trie les données par sensibilité afin de les protéger de manière proportionnée. La loi n° 25-11 du 24 juillet 2025 régit ce qui se passe après une violation — elle impose de notifier l’ANPDP dans un délai de cinq jours et exige des délégués à la protection des données et des registres de traitement. Une bonne classification réduit le risque de violation ; les règles de notification s’appliquent lorsqu’une violation survient malgré tout.

Combien de niveaux de classification une PME algérienne devrait-elle utiliser ?

Quatre constituent la norme recommandée : Public, Interne, Confidentiel et Restreint. Cela s’aligne sur la pratique ISO 27001 et équilibre simplicité et précision. Moins de niveaux laissent les données sensibles sous-protégées ; davantage de niveaux déroutent le personnel non technique qui applique réellement les étiquettes au quotidien. Commencez par quatre, définissez chacun avec des exemples concrets, et n’ajustez que si un besoin clair apparaît.