Loi 25-11 Algérie : votre checklist conformité RGPD

Publié le mai 10, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

La loi algérienne n° 25-11 (juillet 2025) amende la loi 18-07 pour introduire l’obligation de désigner un DPO pour les grands traitements de données, une notification de violation sous 72 heures et des normes de consentement alignées sur le RGPD. L’ANPDP a commencé à exercer son pouvoir de contrôle au premier trimestre 2026.

En résumé: Les entreprises algériennes et les fintechs doivent auditer leurs inventaires de traitement, remanier leurs parcours de consentement numérique et mettre en place des protocoles de notification de violation avant les contrôles sectoriels de l’ANPDP prévus au T3 2026.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

La loi 25-11 régit directement la manière dont chaque entreprise, fintech et prestataire cloud algérien traite les données personnelles, avec une application active de l’ANPDP en cours depuis le premier trimestre 2026.

Calendrier d’action
Immédiat
▾

Le protocole de notification des violations en 72 heures est immédiatement applicable ; la désignation du DPD doit intervenir avant le 1er janvier 2027, nécessitant 6 à 12 mois de préparation.

Parties prenantes clés
DSI, DPD, Équipes Juridiques/Conformité, Fondateurs de Fintechs, Prestataires Cloud

Type de décision
Stratégique
▾

Il s’agit d’une décision d’architecture de conformité qui nécessite des changements juridiques, techniques et organisationnels dans l’ensemble de l’entreprise.

Niveau de priorité
Élevé
▾

L’ANPDP a commencé des contrôles d’application actifs dans les fintechs et les soins de santé ; le non-respect entraîne désormais un risque réel de sanction administrative.

En bref: Les entreprises et fintechs algériennes doivent traiter la conformité à la loi 25-11 comme une priorité au niveau du conseil d’administration : auditer immédiatement votre inventaire des traitements, reconstruire les parcours de consentement numérique avant les audits sectoriels du troisième trimestre 2026, et mettre en place dès maintenant un protocole de notification des violations en 72 heures. Les organisations qui s’alignent précocement sur la loi 25-11 construisent simultanément la crédibilité nécessaire à la reconnaissance d’adéquation de l’UE.

Ce que la loi 25-11 a réellement modifié

La loi algérienne de base sur la protection des données — loi n° 18-07 du 10 juin 2018 — était un texte fondateur, mais ses exigences procédurales étaient en retrait par rapport aux standards RGPD que de nombreuses entreprises technologiques algériennes orientées à l’export doivent respecter pour accéder au marché européen. La loi n° 25-11, adoptée par le parlement algérien en juillet 2025, a comblé ce fossé par un ensemble ciblé d’amendements. Ces modifications n’ont pas abrogé la loi 18-07 ; elles l’ont amendée et étendue, ce qui signifie que tout programme de conformité bâti sur la loi 18-07 doit faire l’objet d’une analyse d’écart au regard des nouvelles dispositions.

Les modifications les plus significatives sur le plan opérationnel se déclinent en quatre domaines. Premièrement, la loi formalise le rôle du délégué à la protection des données (DPD). Les organisations traitant des données personnelles à grande échelle — plus précisément celles traitant les données de plus de 5 000 personnes par an ou manipulant des catégories sensibles de données telles que les dossiers médicaux, les identifiants biométriques ou les historiques de transactions financières — doivent désigner un DPD avant le 1er janvier 2027, selon le calendrier transitoire de l’ANPDP. Cela s’aligne sur l’article 37 du RGPD.

Deuxièmement, les normes de consentement ont été renforcées. La loi précédente exigeait un « consentement exprès » sans en définir la forme. La loi 25-11 précise désormais que le consentement numérique doit être « librement donné, spécifique, éclairé et non ambigu » — reflétant exactement la définition du consentement valable donnée par le considérant 32 du RGPD. Les cases pré-cochées et les clauses de consentement groupées sont explicitement interdites pour les services numériques destinés aux résidents algériens.

Troisièmement, l’amendement introduit une obligation de notification des violations de données dans un délai de 72 heures pour informer l’ANPDP lorsqu’une violation est susceptible d’entraîner un risque pour les droits et libertés des personnes. Cela reflète précisément l’article 33 du RGPD. Avant la loi 25-11, l’Algérie n’avait aucun délai légal de notification des violations ; les organisations signalaient de manière discrétionnaire.

Quatrièmement, la loi élargit la définition des données personnelles sensibles pour inclure les données de géolocalisation et les données de profilage comportemental issues de systèmes d’IA — une addition prospective qui cible directement les moteurs de recommandation, les algorithmes de notation de crédit et les applications liées à la surveillance.

Le contexte de l’application par l’ANPDP

L’Autorité nationale de protection des données personnelles (ANPDP), établie par la loi 18-07, est demeurée en phase de renforcement des capacités jusqu’en 2023. Après la nomination de son conseil complet fin 2024, l’ANPDP est passée à une application active de la réglementation. Au premier trimestre 2026, elle a conduit des contrôles de conformité auprès de 14 entreprises de services financiers et émis des mises en demeure formelles à l’encontre de 3 d’entre elles pour des pratiques de collecte du consentement inadéquates — les premières actions répressives depuis la création de l’autorité, selon le rapport de CMS.law.

La loi 25-11 confère à l’ANPDP des pouvoirs d’investigation renforcés, notamment la possibilité de mener des audits sur place sans préavis pour les organisations soupçonnées de traiter des données sensibles sans autorisation. L’amende administrative maximale reste fixée à 10 millions de dinars algériens (environ 73 000 USD au taux de change actuel) par violation, mais l’amendement introduit le cumul des violations — ce qui supprime l’effet de plafond qui incitait auparavant au retard.

Pour les multinationales exploitant des filiales algériennes et pour les startups algériennes traitant des données de résidents européens, les mécanismes de coordination entre l’ANPDP et les autorités de contrôle de l’UE établis par la loi 25-11 sont particulièrement significatifs. La loi crée un canal formel de notification des transferts transfrontaliers de données — prérequis pour toute entreprise algérienne souhaitant signer des clauses contractuelles types (CCT) avec des contreparties européennes.

Ce que les entreprises doivent faire maintenant

1. Réaliser un audit de l’inventaire des traitements dans les 60 jours

La première obligation dans tout programme de conformité aligné sur le RGPD est un registre des activités de traitement (RAT) — et la loi 25-11 en fait également une exigence formelle pour les organisations algériennes. Un RAT doit documenter : les catégories de données personnelles traitées, la base juridique de chaque activité de traitement, la durée de conservation, les éventuels destinataires tiers, et si des données sont transférées hors du pays. Les organisations sans inventaire documenté doivent mobiliser immédiatement leurs équipes juridiques et de sécurité informatique. L’ANPDP a indiqué dans ses communications du premier trimestre 2026 que la documentation RAT sera le premier document demandé lors de tout audit de conformité.

2. Revoir et reconstruire tous les parcours de consentement numérique

Chaque service numérique destiné aux résidents algériens — y compris les tunnels de conversion e-commerce, l’onboarding des applications fintech, l’inscription aux programmes de fidélité et les inscriptions aux newsletters — nécessite un audit du mécanisme de consentement. L’analyse de conformité de CookieYes sur la loi 25-11 identifie trois schémas d’échec courants : (a) les clauses CGU/consentement groupées où le consentement au traitement des données est intégré dans l’acceptation des conditions générales, (b) le formatage opt-out présenté comme opt-in, et (c) l’absence de sélection granulaire des finalités. Chacun de ces schémas est désormais explicitement non conforme.

3. Mettre en place un protocole de notification des violations en 72 heures

Le délai de notification des violations est le changement opérationnel le plus urgent introduit par la loi 25-11. Une fenêtre de 72 heures est courte — elle exige que les organisations disposent de procédures de réponse aux incidents pré-établies permettant d’évaluer la portée de la violation, de déterminer si elle déclenche les seuils de notification, et de générer un rapport structuré pour l’ANPDP en trois jours calendaires. Le guide de protection des données de DLA Piper pour l’Algérie souligne que la plupart des entreprises algériennes ne disposent actuellement d’aucun plan de triage formel des incidents.

4. Planifier la désignation d’un DPD avant la date limite de janvier 2027

Les organisations tenues de désigner un DPD en vertu de la loi 25-11 ont jusqu’au 1er janvier 2027. C’est suffisant pour planifier, mais pas pour temporiser. Un DPD doit avoir une « connaissance experte du droit et des pratiques en matière de protection des données personnelles ». Pour la plupart des entreprises, cela signifie soit former un professionnel juridique ou de la sécurité informatique existant via un programme de certification reconnu (CIPP/E de l’IAPP ou la qualification CDPO), soit faire appel à un prestataire externe de services DPD. Le DPD doit être enregistré auprès de l’ANPDP — les procédures d’enregistrement devraient être publiées au second semestre 2026.

La perspective globale

La loi 25-11 ne constitue pas un amendement isolé — elle s’inscrit dans un arc réglementaire cohérent qui positionne le cadre algérien de gouvernance des données pour une crédibilité internationale. En parallèle, le décret n° 25-320 de décembre 2025 a établi des règles nationales de classification et d’interopérabilité des données pour les administrations publiques, créant le complément du secteur public aux obligations du secteur privé de la loi 25-11. Ensemble, ces deux instruments forment la couche fondamentale de l’infrastructure juridique de l’Algérie Numérique 2030.

Pour les entreprises technologiques algériennes avec des ambitions à l’export — notamment celles ciblant le marché européen — la loi 25-11 crée une opportunité autant qu’une obligation. L’ANPDP a ouvert un dialogue avec le Comité européen de la protection des données concernant un processus d’évaluation de l’adéquation. Une décision d’adéquation supprimerait la nécessité de CCT pour chaque transfert de données UE-Algérie. Les programmes de conformité qui documentent leur alignement avec la loi 25-11 dès maintenant constituent la base probante qui soutient la candidature de l’Algérie à l’adéquation.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Quelle est la date limite pour désigner un DPD en vertu de la loi algérienne 25-11 ?

Les organisations tenues de désigner un délégué à la protection des données en vertu de la loi n° 25-11 doivent finaliser la nomination avant le 1er janvier 2027, selon le calendrier transitoire de l’ANPDP. L’obligation s’applique aux organisations traitant les données personnelles de plus de 5 000 personnes par an ou gérant des catégories sensibles de données. Les DPD doivent être enregistrés auprès de l’ANPDP ; les procédures d’enregistrement sont attendues au second semestre 2026.

Comment l’exigence de notification des violations en Algérie se compare-t-elle au RGPD ?

La loi 25-11 reflète étroitement l’article 33 du RGPD : les organisations doivent notifier l’ANPDP dans les 72 heures suivant la découverte d’une violation de données susceptible d’entraîner un risque pour les droits et libertés des personnes. Avant la loi 25-11, l’Algérie n’avait aucun délai légal de notification. Contrairement au RGPD, la loi algérienne ne précise pas encore d’obligation parallèle de notifier directement les personnes concernées.

La loi 25-11 s’applique-t-elle aux entreprises internationales traitant des données de résidents algériens ?

Oui. La loi 25-11, comme la loi 18-07 avant elle, s’applique sur une base territoriale : toute organisation traitant des données personnelles de personnes situées en Algérie — quelle que soit la nationalité de l’organisation — relève de sa juridiction. Les entreprises basées dans l’UE ou aux États-Unis disposant d’une base d’utilisateurs algériens doivent se conformer aux dispositions relatives au DPD, au consentement et à la notification des violations.

—