⚡ Points Clés

Le Décret présidentiel n° 25-320 du 30 décembre 2025 établit le premier cadre national de gouvernance des données en Algérie, imposant à toutes les administrations publiques de classifier leurs actifs de données, constituer des catalogues structurés et échanger des données uniquement via des canaux d’interopérabilité sécurisés. Il s’articule avec le Décret n° 20-05 (cybersécurité) et la Loi n° 25-11 (protection des données personnelles) pour former une pile de conformité unifiée pour le secteur public.

En résumé: Les équipes informatiques du secteur public doivent lancer immédiatement un inventaire des actifs de données — c’est le prérequis de toutes les obligations de conformité au titre du Décret 25-320 et alimente directement les exigences de tenue de registres de la Loi n° 25-11.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
Le Décret 25-320 s’applique directement à chaque administration publique en Algérie et fixe le standard de gestion des données qui façonnera l’interopérabilité de tous les services publics numériques dans le cadre du programme Algeria Digitale 2030.
Calendrier d’action
6-12 mois
Pris le 30 décembre 2025 ; les délais de mise en œuvre détaillés n’ont pas été publiés, mais les cycles de révision de l’ANSSI et du CNSSI débutent généralement dans les 12 mois suivant la prise du décret. La préparation doit commencer immédiatement.
Parties prenantes clés
Directeurs informatiques du secteur public, RSSI, délégués à la protection des données, équipes du Ministère de la Transformation Numérique, personnel de conformité ANPDP
Assessment: Directeurs informatiques du secteur public, RSSI, délégués à la protection des données, équipes du Ministère de la Transformation Numérique, personnel de conformité ANPDP. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Cette classification reflète le fait que le Décret 25-320 requiert des changements opérationnels concrets — constitution de catalogues, conception de schémas, nomination de responsables — plutôt que des changements de cap stratégiques.
Niveau de priorité
Élevé
Le décret crée un socle de conformité que l’ANSSI et le CNSSI vérifieront. Les agences publiques qui ne commencent pas le travail de catalogage et de classification maintenant risquent d’être prises au dépourvu lors de la première vague de contrôles de conformité.

En bref: Les équipes informatiques du secteur public doivent traiter le Décret 25-320 comme un projet d’infrastructure de données nécessitant une mobilisation immédiate de ressources, non comme une aspiration politique future. La première étape pratique — un inventaire des actifs de données — peut commencer aujourd’hui et alimente directement chaque obligation de conformité ultérieure au titre du décret et des lois connexes.

Publicité

Pourquoi décembre 2025 a marqué un tournant pour les données du secteur public algérien

Le secteur public algérien a accumulé d’immenses stocks de données citoyennes — registres de l’état civil, bases de données de santé, fichiers de sécurité sociale, registres fonciers, identifiants fiscaux — avec peu de normalisation sur la manière dont ces données sont classifiées, stockées ou partagées entre administrations. Deux ministères conservant des données sur le même citoyen pourraient utiliser des formats incompatibles, des labels de sensibilité différents ou des systèmes en silo incapables de communiquer de manière sécurisée. Le résultat : duplication, qualité des données inégale et exposition aux risques à chaque point d’intégration.

Le Décret présidentiel n° 25-320, pris le 30 décembre 2025, est la réponse structurelle à ce problème. Selon le guide expert de CMS Law sur le cadre algérien de protection des données et de cybersécurité, le décret définit le champ de « la classification des données, du catalogage et de l’interopérabilité sécurisée entre les administrations publiques, en conformité avec la cybersécurité et la protection des données personnelles. » En termes opérationnels, il impose à chaque administration publique d’adopter une approche standardisée pour étiqueter ses actifs de données, constituer des inventaires et partager ces données uniquement par des canaux sécurisés et approuvés.

Le décret ne s’inscrit pas dans l’isolement. Il se situe à l’intersection de deux autres instruments majeurs : le Décret n° 20-05, qui en janvier 2021 a imposé des responsables de la sécurité dédiés dans les organismes publics et établi la structure de gouvernance de la cybersécurité sous CNSSI et ANSSI, et la Loi n° 25-11 (juillet 2025), qui a aligné le régime algérien de protection des données personnelles sur les normes RGPD. Le Décret 25-320 est la couche de gestion des données qui connecte l’infrastructure de sécurité et les protections des données personnelles en une pile de gouvernance cohérente.

Les trois piliers du décret

Comprendre ce que le Décret 25-320 exige concrètement implique de le décomposer en ses trois composantes opérationnelles.

La classification des données est l’obligation fondamentale. Les administrations publiques doivent attribuer des labels de sensibilité à tous les actifs de données — en distinguant au minimum les données publiques ouvertes, les données administratives internes, les données restreintes et les données confidentielles. Le schéma de classification doit être documenté, versionné et révisé périodiquement.

Le catalogage des données est l’obligation d’inventaire. Chaque agence doit constituer et maintenir un catalogue structuré de ses actifs de données — en enregistrant ce qu’elle détient, la base juridique de sa détention, son niveau de classification, les durées de conservation, les systèmes où les données résident et le responsable désigné. Ce catalogue sert un double objectif : démontrer la conformité aux exigences de tenue de registres de la Loi n° 25-11 et fournir la couche d’interopérabilité par laquelle d’autres agences autorisées peuvent découvrir les données disponibles sans collecte redondante.

L’interopérabilité sécurisée est l’obligation d’échange. Lorsque des administrations publiques doivent partager des données, le décret impose que ce partage s’effectue par des canaux sécurisés et documentés avec des contrôles d’accès et des pistes d’audit appropriés. L’objectif est d’éliminer les transferts de données ad hoc par courriel, clés USB ou partages de fichiers non protégés, en les remplaçant par des mécanismes contrôlés basés sur des API pouvant être audités.

Publicité

Ce que les équipes informatiques du secteur public doivent faire au sujet du Décret 25-320

Le décret a été pris fin décembre 2025. Les délais de mise en conformité n’ont pas été publiquement détaillés, mais le schéma du droit administratif algérien suggère une fenêtre de mise en œuvre de 12 à 24 mois avec des révisions d’agences progressives par l’ANSSI et le CNSSI.

1. Réaliser un inventaire des actifs de données avant toute tentative de classification

L’erreur la plus fréquente dans les mises en œuvre de gouvernance des données est de tenter de classifier les données sans savoir d’abord quelles données existent. Les équipes informatiques du secteur public doivent commencer par un exercice de découverte structuré : catalogage de toutes les bases de données, partages de fichiers, entrepôts de données et intégrations tierces opérés par l’agence. Cet inventaire n’a pas besoin d’être parfait d’emblée — un catalogue complet à 80 % est infiniment plus utile qu’aucun catalogue. Le catalogue devient le fondement à la fois de la classification et du registre d’interopérabilité imposé par le décret.

2. Concevoir un schéma de classification qui intègre les obligations légales existantes

Le décret exige une classification « en conformité avec la cybersécurité et la protection des données personnelles » — ce qui signifie que le schéma doit tenir compte à la fois de la sensibilité sécuritaire (sous le cadre du Décret n° 20-05) et du statut de données personnelles (sous la Loi n° 25-11). Un schéma pratique pour le secteur public comporte quatre à cinq niveaux. Le niveau 1 couvre les données publiques non sensibles (communiqués, statistiques publiées). Le niveau 2 couvre les données administratives internes sans informations personnelles. Le niveau 3 couvre les données personnelles soumises aux protections standard de la Loi n° 25-11. Le niveau 4 couvre les données personnelles sensibles (santé, judiciaire, financier) nécessitant des protections renforcées. Le niveau 5, le cas échéant, couvre les données soumises à des classifications de sécurité nationale. Aligner ce schéma sur les deux instruments juridiques simultanément — plutôt que de construire des systèmes de classification séparés pour la cybersécurité et la protection des données — évite la duplication.

3. Nommer un responsable de la gouvernance des données distinct du responsable de la sécurité

Le Décret n° 20-05 exige déjà un responsable dédié de la sécurité des systèmes d’information (RSSI). Le Décret 25-320 ajoute une couche de gouvernance des données qui nécessite une maintenance continue du catalogue et une gouvernance de l’interopérabilité. En pratique, il s’agit de profils de compétences différents : le RSSI se concentre sur la détection des menaces, le contrôle d’accès et la réponse aux incidents ; la fonction de gouvernance des données nécessite une expertise en modélisation des données, gestion de catalogues et alignement juridique. Les agences qui attribuent les deux responsabilités au même responsable voient généralement la fonction sécurité éclipser la fonction gouvernance. La nomination d’un coordinateur de gouvernance des données distinct — même un analyste junior avec une formation appropriée — crée la responsabilité organisationnelle que les obligations de catalogage et d’interopérabilité du décret requièrent.

4. Construire l’interopérabilité sur l’infrastructure numérique nationale, et non sur des liens point à point

Le pilier interopérabilité du décret s’implémente le mieux à travers l’infrastructure numérique nationale émergente de l’Algérie — la plateforme API e-gouvernement que le Ministère de la Transformation Numérique développe dans le cadre de la stratégie Algeria Digitale 2030. La construction d’intégrations bilatérales point à point entre agences est techniquement faisable mais crée un réseau de dépendances impossibles à maintenir. La plateforme API nationale fournit une couche d’échange gouvernée où la demande et la réponse sont enregistrées, contrôlées et traçables — précisément la piste d’audit que le décret envisage. Les agences devraient s’engager tôt avec l’équipe d’intégration du Ministère de la Transformation Numérique pour positionner leurs actifs de données pour l’intégration à la plateforme nationale.

Où cela s’inscrit dans la pile de gouvernance algérienne 2025-2026

Le Décret 25-320 est le troisième instrument majeur d’une pile de gouvernance qui s’est constituée rapidement depuis 2023. L’ANPDP (Autorité Nationale de Protection des Données Personnelles), créée en août 2023, fournit l’organe de supervision réglementaire. La Loi n° 25-11 de juillet 2025, qui a modifié la loi fondamentale sur les données personnelles (Loi n° 18-07), a ajouté des exigences d’imputabilité alignées sur le RGPD. La page de juridiction algérienne de DataGuidance note que ces amendements de 2025 ont substantiellement aligné le cadre de confidentialité de l’Algérie sur les normes internationales, rehaussant le niveau de conformité pour les acteurs publics et privés. Le Décret 25-320 fournit désormais la couche d’infrastructure de gestion des données qui rend la conformité à ces obligations opérationnellement réalisable.

Pour les équipes informatiques du secteur public, l’implication pratique est que la conformité ne représente pas trois projets séparés. La classification au titre du Décret 25-320 alimente directement les registres de traitement requis par la Loi n° 25-11. Le catalogue de données fournit l’inventaire sur lequel l’ANPDP peut conduire des audits. Les canaux d’interopérabilité sécurisée opérationnalisent les contrôles d’accès imposés par le Décret n° 20-05.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’exige concrètement le Décret 25-320 des administrations publiques ?

Le Décret n° 25-320 du 30 décembre 2025 impose trois choses : classifier tous les actifs de données par niveau de sensibilité, constituer un catalogue structuré de ces actifs (enregistrant ce qui existe, sa base juridique et sa localisation), et échanger des données avec d’autres administrations publiques uniquement par des canaux d’interopérabilité sécurisés et approuvés. Le décret s’articule avec le Décret n° 20-05 (cybersécurité) et la Loi n° 25-11 (protection des données personnelles) — la conformité aux trois instruments est désormais attendue des organisations du secteur public.

Comment le Décret 25-320 interagit-il avec la loi algérienne sur la protection des données personnelles ?

Les deux instruments sont complémentaires. La Loi n° 25-11 (modifiant la Loi n° 18-07) fixe les droits et obligations autour du traitement des données personnelles — base juridique, tenue de registres, analyses d’impact et supervision de l’ANPDP. Le Décret 25-320 fournit le cadre opérationnel pour gérer tous les actifs de données du secteur public, y compris les données personnelles. Le catalogue de données imposé par le décret satisfait directement une partie des exigences de tenue de registres de la Loi n° 25-11.

Qui fait respecter la conformité au Décret 25-320 et quelles sont les conséquences du non-respect ?

Le décret relève de la compétence de supervision du CNSSI et de l’ANSSI pour ses dispositions liées à la cybersécurité, et de l’ANPDP pour les dimensions relatives aux données personnelles. L’ANPDP, créée en août 2023, dispose de pouvoirs d’inspection et d’audit et de branches régionales. Les conséquences du non-respect pour les agences publiques sont principalement administratives — conclusions d’audit, ordres de remédiation obligatoires et exposition potentielle à la réputation.

Sources et lectures complémentaires