Loi 25-11 : DPO, notification des violations et AIPD pour les entreprises algériennes

Publié le mars 25, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Temps de lecture : 8 min de lecture
Complexité : Intermédiaire

En résumé : La Loi 25-11 impose des DPO obligatoires, une notification des violations sous cinq jours et des analyses d’impact — avec des peines pénales pouvant atteindre cinq ans d’emprisonnement. La conformité est exigée dès maintenant.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
▾

La Loi 25-11 concerne directement toute organisation traitant des données personnelles en Algérie, des banques et opérateurs télécoms aux startups et administrations publiques, avec des sanctions pénales en cas de non-conformité.

Calendrier d’action
Immédiat
▾

La loi est entrée en vigueur le 24 juillet 2025, sans période transitoire formelle ; l’ANPDP peut engager des poursuites à tout moment.

Parties prenantes clés
RSSI, directions juridiques, responsables conformité, candidats DPO, fondateurs de startups, directeurs informatiques des administrations, ANPDP

Type de décision
Tactique
▾

Nécessite des actions opérationnelles spécifiques dès maintenant : désigner un DPO, mettre en place des procédures de réponse aux incidents, créer des registres de traitement et réaliser des AIPD pour les activités à haut risque.

Niveau de priorité
Critique
▾

Des peines pénales pouvant atteindre cinq ans d’emprisonnement et des amendes jusqu’à 1 000 000 DZD font de la non-conformité un risque juridique et personnel sérieux pour les dirigeants d’organisations.

En bref : La Loi 25-11 est déjà en vigueur sans période transitoire formelle. Chaque organisation algérienne traitant des données personnelles doit désigner un DPO, mettre en place des procédures de notification des violations respectant le délai de cinq jours et commencer les AIPD pour les traitements à haut risque. Engagez vos efforts de conformité dès maintenant.

De la Loi 18-07 à la Loi 25-11 : ce qui a changé

La loi initiale sur la protection des données en Algérie — la Loi 18-07 du 10 juin 2018 — a créé l’Autorité Nationale de Protection des Données à caractère Personnel (ANPDP) et défini les principes de base du traitement des données. Mais elle ne prévoyait ni obligation de notification des violations, ni désignation obligatoire de délégués à la protection des données, ni évaluation des risques avant le lancement de traitements à haut risque.

Le 24 juillet 2025, le Parlement algérien a promulgué la Loi n° 25-11, modifiant et complétant la Loi 18-07. Cette mise à jour introduit cinq obligations majeures qui rapprochent considérablement le cadre algérien du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, tout en ajoutant une dimension pénale absente de la plupart des transpositions du RGPD.

Délégués à la protection des données obligatoires

La Loi 25-11 exige des organisations qui traitent des données personnelles à grande échelle ou qui manipulent des catégories sensibles de désigner un délégué à la protection des données (DPO). Le DPO doit posséder des qualifications professionnelles et une expertise reconnue en droit et pratiques de la protection des données. Ses responsabilités incluent le conseil au responsable du traitement sur la conformité, le suivi des politiques internes, le rôle d’interlocuteur auprès de l’ANPDP, la gestion des analyses d’impact et le traitement des demandes des personnes concernées en matière d’accès, de rectification et de suppression.

La loi protège l’indépendance du DPO : il ne peut recevoir d’instructions sur la manière d’exercer ses fonctions et ne peut être sanctionné pour l’exercice de ses missions. Pour l’Algérie, où très peu d’organisations disposaient de fonctions formelles de protection de la vie privée, cela crée à la fois un défi urgent de conformité et une opportunité de carrière significative dans la banque, les télécommunications, la santé, le commerce électronique et les administrations publiques.

Notification des violations sous cinq jours

L’Article 45 bis 8 de la Loi 25-11 introduit l’obligation opérationnelle la plus exigeante : les responsables du traitement doivent notifier l’ANPDP dans un délai de cinq jours après avoir pris connaissance d’une violation de données personnelles susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. La notification doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises pour y remédier.

Si le responsable du traitement ne peut fournir toutes les informations requises immédiatement, une notification progressive est autorisée. Les sous-traitants doivent informer leurs responsables du traitement de toute violation dès qu’ils en ont connaissance. Lorsqu’une violation présente un risque élevé pour les personnes concernées, une notification directe à ces personnes est également requise.

Les implications pratiques sont considérables. Les organisations ont besoin de capacités de détection des incidents, de procédures de réponse documentées, de modèles de notification préparés pour l’ANPDP et de systèmes d’enregistrement des violations — même pour les incidents en deçà du seuil de notification.

Analyses d’impact sur la protection des données

En vertu de l’Article 45 bis 6, les organisations doivent réaliser des analyses d’impact sur la protection des données (AIPD) avant d’entreprendre des traitements susceptibles d’entraîner des risques élevés pour les droits et libertés des personnes physiques. Les traitements à haut risque incluent généralement le traitement à grande échelle de données sensibles (dossiers médicaux, données biométriques), la surveillance systématique, la prise de décision automatisée comme le scoring de crédit, et les déploiements de nouvelles technologies impliquant des données personnelles.

Une AIPD doit évaluer la nécessité et la proportionnalité du traitement, apprécier les risques pour les personnes concernées et identifier les mesures d’atténuation. Si les risques résiduels demeurent élevés après atténuation, l’organisation doit consulter l’ANPDP avant de poursuivre.

Données biométriques et définitions élargies

La Loi 25-11 introduit des définitions explicites pour les données biométriques, le profilage, la pseudonymisation et les violations de données — des termes absents de la Loi 18-07 d’origine. La définition des données biométriques couvre les données résultant de traitements techniques spécifiques de caractéristiques physiques, physiologiques ou comportementales permettant l’identification unique d’une personne.

Cela concerne directement l’Algérie. Le pays déploie déjà la technologie biométrique de manière extensive : cartes nationales d’identité biométriques (CNIB) avec empreintes digitales et photographies faciales, passeports biométriques, inscription biométrique des électeurs et authentification par empreinte digitale émergente dans le secteur bancaire. En classifiant les données biométriques comme sensibles et en exigeant des AIPD pour leur traitement, la Loi 25-11 garantit que les protections juridiques correspondent à la réalité technologique.

Registres de traitement et responsabilisation

Les responsables du traitement et les sous-traitants doivent désormais tenir des registres détaillés de toutes leurs activités de traitement, incluant les finalités, les catégories de données, les destinataires, les transferts transfrontaliers, les durées de conservation et les mesures de sécurité. Ces registres doivent être mis à la disposition de l’ANPDP sur demande, créant un mécanisme de responsabilisation fondé sur la documentation qui va au-delà de la simple conformité juridique.

Des sanctions à dimension pénale

La Loi 25-11 établit des sanctions combinant conséquences financières et pénales. Les amendes vont de 20 000 DZD (~150 $) à 1 000 000 DZD (~7 500 $) selon la nature et la gravité de la violation. Les peines pénales atteignent deux mois à cinq ans d’emprisonnement pour les infractions les plus graves, notamment le traitement illicite de données sensibles et l’obstruction aux activités de contrôle de l’ANPDP.

Si les sanctions financières restent modestes par rapport aux 4 % du chiffre d’affaires annuel mondial prévus par le RGPD, la dimension pénale distingue l’Algérie. Dans le contexte régional, la Loi 09-08 du Maroc prévoit des amendes allant jusqu’à 300 000 MAD (~30 000 $) avec un emprisonnement pouvant atteindre deux ans pour la plupart des infractions, tandis que la Loi organique n° 2004-63 de la Tunisie prévoit des peines allant jusqu’à cinq ans pour les infractions les plus graves. La combinaison de sanctions financières et pénales de l’Algérie crée un dispositif dissuasif à plusieurs niveaux.

Comment la Loi 25-11 s’inscrit dans l’architecture réglementaire algérienne

La Loi 25-11 ne se situe pas isolément. Elle s’inscrit dans une convergence réglementaire aux côtés de deux autres évolutions de 2025 : le projet de loi sur les services de confiance (approuvé par le Conseil des ministres le 2 novembre 2025, couvrant l’identification numérique et les signatures électroniques) et l’Instruction 06-2025 de la Banque d’Algérie (publiée le 17 août 2025, établissant le cadre d’agrément des prestataires de services de paiement). Ces trois cadres sont interconnectés — la réglementation PSP exige la protection des données clients que la Loi 25-11 définit, tandis que le cadre des services de confiance gère les données d’identité numérique soumises aux protections de la Loi 25-11.

Ce que les organisations doivent faire maintenant

Immédiat (0-6 mois) : Désigner ou identifier un candidat au poste de DPO. Réaliser un exercice de cartographie des données pour comprendre quelles données personnelles votre organisation détient. Établir une procédure documentée de réponse aux incidents capable de respecter le délai de notification de cinq jours. Commencer à créer les registres de traitement.

Moyen terme (6-18 mois) : Réaliser des AIPD pour les traitements à haut risque, en priorisant les données biométriques, les dossiers médicaux, la prise de décision automatisée et les systèmes de surveillance. Mettre en place des mesures de sécurité techniques incluant le chiffrement et les contrôles d’accès. Former l’ensemble des employés qui manipulent des données personnelles. Réviser et mettre à jour les contrats avec les sous-traitants.

La loi ne prévoit aucune période transitoire explicite. Bien que l’ANPDP puisse initialement privilégier l’accompagnement plutôt que l’application coercitive, les organisations qui retardent leur mise en conformité assument un risque juridique dès la date d’entrée en vigueur.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions fréquentes

La Loi 25-11 s’applique-t-elle aux entreprises étrangères traitant des données en Algérie ?

Oui. La loi s’applique à tout responsable du traitement ou sous-traitant qui traite des données personnelles de personnes situées en Algérie, quel que soit le lieu d’établissement de l’organisation. Les entreprises étrangères offrant des services aux résidents algériens ou surveillant leur comportement sont soumises aux obligations de conformité, bien que les mécanismes d’application transfrontaliers restent moins développés que pour les entités nationales.

Quelles qualifications un DPO doit-il posséder en vertu de la Loi 25-11 ?

La loi exige des qualifications professionnelles et une expertise reconnue en droit et pratiques de la protection des données, mais n’impose pas de certifications spécifiques. En pratique, un DPO doit maîtriser le droit algérien de la protection des données, les principes de sécurité de l’information et les activités de traitement spécifiques de son organisation. Compte tenu de la rareté des professionnels de la protection des données en Algérie, les organisations pourront avoir besoin de former leur personnel juridique ou de conformité existant.

Que se passe-t-il si une organisation ne respecte pas le délai de notification de cinq jours ?

Le non-respect de la notification à l’ANPDP dans les cinq jours peut entraîner des sanctions administratives (avertissements, amendes, interdictions de traitement) et des peines pénales. En cas de notification tardive, la loi exige de fournir les raisons du retard (Article 45 bis 8). Les organisations dépourvues de capacités de détection des incidents peuvent invoquer leur ignorance, mais cette défense a peu de chances de satisfaire le régulateur si une surveillance minimale faisait défaut.