⚡ Points Clés

La loi 25-11 (juillet 2025) a modifié la loi 18-07 en imposant des délégués à la protection des données, des registres de traitement et un délai de notification de 5 jours à l’ANPDP en cas de violation. Le décret présidentiel 26-07 (janvier 2026) a simultanément rendu obligatoires des unités de cybersécurité dans toutes les institutions publiques. Les sanctions pénales peuvent atteindre 5 ans d’emprisonnement et 10 000 000 DZD d’amendes.

En résumé: Les équipes conformité des entreprises algériennes doivent immédiatement nommer un DPO qualifié, mettre à jour leur registre de traitement selon la loi 25-11 et tester leur procédure de notification pour respecter le délai de 5 jours à l’ANPDP.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevée
La loi 18-07, la loi 25-11 et le décret 26-07 sont des réglementations algériennes actives avec des sanctions pénales et administratives — directement applicables à toutes les entreprises traitant des données personnelles ou opérant dans le secteur public.
Calendrier d’action
Immédiat
La loi 25-11 est en vigueur depuis juillet 2025 et le décret 26-07 depuis janvier 2026 ; le délai de 5 jours et les obligations de DPD sont effectifs maintenant, sans mise en œuvre progressive.
Parties prenantes clés
DSI, Responsables Conformité, DPD, Directeurs Informatiques, Conseillers Juridiques
Assessment: DSI, Responsables Conformité, DPD, Directeurs Informatiques, Conseillers Juridiques. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Cet article fournit un cadre d’action concret pour la mise en œuvre d’obligations légales existantes — la décision porte sur la manière de se conformer, non sur la nécessité de le faire.
Niveau de priorité
Critique
Les sanctions pénales actives (jusqu’à 5 ans d’emprisonnement) et les sanctions administratives (y compris le retrait définitif des autorisations de traitement) sont en vigueur maintenant ; le non-respect constitue un risque organisationnel immédiat.

En bref: Les entreprises algériennes traitant des données personnelles doivent agir sur trois fronts immédiatement : nommer un DPD qualifié (et non nominal), mettre à jour leur registre des activités de traitement selon le périmètre élargi de la loi 25-11, et tester leur processus de notification de violation face au délai de 5 jours de l’ANPDP. Engagez l’ANSSI et DZ-CERT de manière proactive avant qu’un incident ne crée une dynamique adversariale avec les régulateurs.

Publicité

Ce Qui a Changé en 2026 : Du Cadre à l’Application

Le paysage algérien de la cybersécurité et de la protection des données a connu une transformation décisive au cours des 18 mois écoulés entre mi-2024 et début 2026. Pendant des années, la loi 18-07 — le texte de 2018 sur la protection des données personnelles — existait en tant que cadre réglementaire sans application cohérente. Cette période est révolue.

Deux évolutions de la fin 2025 et du début 2026 ont accéléré la transition d’une conformité formelle vers une responsabilité opérationnelle. D’abord, la loi 25-11 (promulguée le 24 juillet 2025) a modifié la loi 18-07 avec des exigences substantiellement renforcées : délégués à la protection des données obligatoires pour les traitements à risque élevé, évaluations d’impact formelles pour les données sensibles, journaux de traitement automatisé et un délai strict de 5 jours pour notifier l’ANPDP en cas de violation. Ensuite, le décret présidentiel 26-07 (7 janvier 2026) a imposé à toutes les institutions publiques — y compris les entreprises publiques, les banques et les administrations — l’établissement d’unités dédiées à la cybersécurité.

La Journée Conformité & Cybersécurité 2026, tenue le 30 avril 2026 à l’Hôtel Mercure d’Alger et organisée par SOLTIC Algérie, a réuni des responsables conformité, des DSI et des juristes d’entreprise. Le consensus de l’événement était direct : la conformité n’est plus une formalité légale — c’est un différenciateur concurrentiel et un impératif de gestion des risques.

Pour les entreprises algériennes, notamment celles traitant des données sensibles (dossiers de santé, transactions financières, biométrie des employés), la question n’est plus de savoir s’il faut se conformer, mais à quelle vitesse combler l’écart entre les pratiques actuelles et le socle réglementaire de 2026.

L’Architecture de Conformité : Quatre Piliers

Les exigences combinées de la loi 18-07 (telle qu’amendée), du décret 26-07 et de la stratégie nationale de cybersécurité 2025-2029 créent quatre obligations de conformité interdépendantes que les équipes d’entreprise doivent traiter séquentiellement.

Pilier 1 : Gouvernance — Nommer les Bonnes Personnes avec une Autorité Réelle

Le changement le plus fondamental introduit par la loi 25-11 est l’obligation de nommer un délégué à la protection des données (DPD). Les entreprises impliquées dans des traitements à risque élevé — notamment les données de santé, les dossiers financiers, les données biométriques ou le profilage systématique à grande échelle — doivent désigner un DPD avec une expertise documentée en droit de la protection des données et en pratiques de sécurité.

Un DPD de façade enfreint l’intention et de plus en plus la lettre de la loi. L’ANPDP, créée en août 2022 en tant qu’organe indépendant doté de magistrats et d’experts techniques, examine activement les structures organisationnelles. Le DPD doit avoir un accès direct à la direction générale, ne pas se trouver en situation de conflit d’intérêts avec d’autres rôles de traitement de données, et être l’interlocuteur principal de l’ANPDP pour les déclarations, les autorisations et les notifications de violations.

Pour les entreprises soumises au décret 26-07 (secteur public et entités apparentées à l’État), une nomination parallèle est requise : une fonction de niveau RSSI pour l’unité de sécurité des systèmes d’information, opérant dans le cadre défini par le décret présidentiel 20-05 et coordonnée avec l’ANSSI et DZ-CERT.

Pilier 2 : Documentation — Construire le Registre de Traitement et l’Infrastructure de Journalisation

La loi 25-11 a transformé la documentation d’une bonne pratique optionnelle en obligation légale. Les entreprises doivent tenir trois catégories de registres : (1) un registre des activités de traitement détaillant chaque opération sur des données personnelles — finalité, base juridique, catégories de données, durées de conservation et destinataires tiers ; (2) des journaux d’opérations automatisées capturant les accès système aux données personnelles ; et (3) des analyses d’impact relatives à la protection des données (AIPD) pour les activités de traitement présentant un risque élevé pour les personnes concernées.

Le registre de traitement n’est pas un exercice ponctuel — c’est une documentation vivante à mettre à jour à chaque évolution des systèmes. De nombreuses entreprises algériennes qui avaient entamé leur conformité à la loi 18-07 en 2022-2023 ont constitué des registres initiaux mais ont omis de les maintenir lors de migrations cloud ou de mises à jour de CRM ultérieures. Les auditeurs de l’ANPDP croisent les flux de données déclarés avec les journaux d’audit techniques ; les incohérences entre le registre et les flux réels constituent une source primaire de mesures d’application.

Pilier 3 : Réponse aux Violations — Respecter le Délai de Notification de 5 Jours

Le délai de notification de 5 jours — mesuré à partir du moment où le responsable du traitement a connaissance d’une violation de données personnelles — est l’exigence la plus contraignante du dispositif mis à jour. La loi 25-11 est explicite : les sous-traitants doivent notifier immédiatement le responsable du traitement dès la découverte ; le responsable doit ensuite notifier l’ANPDP dans un délai maximum de cinq jours à compter de sa prise de connaissance.

Ce calendrier exige que les entreprises disposent d’un plan de réponse aux incidents rédigé, testé et connu du personnel concerné avant qu’une violation ne survienne. Le plan doit définir : qui est le responsable de la notification, ce qui constitue une violation notifiable, comment est formulée la notification à l’ANPDP, et quel est le circuit d’escalade interne qui déclenche le compte à rebours des 5 jours. Les entreprises sans plan testé dépasseront quasi certainement ce délai — non par mauvaise volonté, mais parce que les processus improvisés en situation de crise prennent toujours plus de temps que prévu.

Les sanctions pénales pour violations de la loi 18-07 peuvent atteindre 5 ans d’emprisonnement, et les amendes administratives peuvent aboutir au retrait définitif des autorisations de traitement. Des sanctions financières allant jusqu’à 10 000 000 de dinars algériens (environ 65 800 €) s’appliquent aux infractions de cybersécurité relevant de la loi 09-04.

Pilier 4 : Conformité des Tiers et du Cloud — Appliquer la Rigueur aux Prestataires

Une lacune de conformité souvent négligée est le risque lié aux tiers. La loi 18-07 s’applique aux responsables du traitement — mais les sous-traitants agissant pour leur compte portent des obligations dérivées, et le responsable du traitement reste responsable de la conformité du sous-traitant. Les prestataires de services cloud opérant en Algérie ont une obligation supplémentaire spécifique : ils doivent héberger les données sur le territoire national et garantir des solutions de sauvegarde, conformément à la loi 18-04 et aux réglementations associées.

Les entreprises utilisant des plateformes SaaS internationales pour les RH, la GRC ou les opérations financières doivent procéder à des évaluations de leurs prestataires : le prestataire dispose-t-il d’un accord de traitement des données conforme au droit algérien ? Où les données sont-elles physiquement hébergées ? La notification de violation par le prestataire à l’entreprise permet-elle à celle-ci de respecter sa propre fenêtre de 5 jours vis-à-vis de l’ANPDP ? Ces questions ne constituent pas une charge administrative — elles sont la mise en œuvre opérationnelle d’une obligation légale.

Publicité

Ce Que Cela Signifie pour les Responsables Conformité des Entreprises Algériennes

Le défi de conformité n’est pas principalement juridique — le cadre algérien est désormais bien défini. Le défi est opérationnel : traduire les exigences légales en processus reproductibles dans des unités métier qui n’ont peut-être jamais traité la gouvernance des données comme une fonction essentielle.

1. Réaliser un Audit des Écarts par Rapport à la Checklist de la Loi 25-11 Avant le T3 2026

Les amendements de 2025 ont introduit des obligations de DPD, d’AIPD et de journalisation qui ne figurent peut-être pas dans les programmes de conformité construits avant juillet 2025. Les entreprises doivent réaliser un audit structuré des écarts cartographiant leur situation actuelle par rapport à chaque obligation de la loi 25-11, en priorisant : le statut de nomination du DPD, l’actualité du registre de traitement, l’exhaustivité des AIPD pour les systèmes à risque élevé, et l’existence et la date du dernier test du plan de réponse aux violations. L’audit doit produire un backlog de remédiation avec des responsables et des délais.

2. Simuler un Exercice de Notification de Violation avec les Délais de l’ANPDP

Le délai de notification de 5 jours ne peut pas être traité comme théorique. Les entreprises doivent conduire un exercice de simulation reproduisant la découverte d’une violation affectant des données personnelles — et mesurer le temps que prend leur processus actuel depuis la découverte jusqu’à la transmission d’un formulaire de notification complet à l’ANPDP. La plupart des organisations constatent qu’elles ont besoin de 2 à 3 semaines pour une tâche que la loi impose en 5 jours. L’exercice révèle les lacunes de processus avant que les régulateurs ne les découvrent.

3. Engager DZ-CERT et l’ANSSI comme Partenaires, et Non Comme Seules Autorités

DZ-CERT (opéré par le CERIST) et l’ANSSI proposent tous deux des canaux d’assistance technique auxquels les entreprises peuvent accéder de manière proactive. DZ-CERT publie des avis de vulnérabilité et des orientations de coordination des incidents ; l’ANSSI supervise la conformité au décret 20-05. Établir une relation de contact avec ces organismes avant un incident crée une dynamique coopérative fondamentalement différente de l’engagement réactif pendant une procédure d’application.

La Leçon Structurelle : La Conformité Comme Infrastructure Concurrentielle

Le paysage de conformité auquel font face les entreprises algériennes en 2026 n’est pas exceptionnel par rapport aux standards internationaux — il ressemble étroitement à la trajectoire suivie par les entreprises européennes après l’entrée en vigueur du RGPD en 2018. Ce qui est distinctif, c’est la rapidité d’activation de l’application : les organes de régulation algériens sont passés de la création à la supervision active en environ 3 ans.

Les entreprises qui traitent la conformité à la loi 18-07 et au décret 26-07 comme un exercice de certification ponctuel feront face à des coûts récurrents à chaque mise à jour réglementaire. Celles qui construisent la conformité comme une infrastructure — intégrée dans la sélection des fournisseurs, la conception des systèmes, les critères d’embauche des DPD et la mémoire musculaire de réponse aux incidents — constatent que le coût marginal de chaque nouvelle exigence réglementaire diminue sensiblement. L’événement Conformité & Cybersécurité d’avril 2026 l’a formulé précisément : la conformité est désormais un levier de confiance, de performance et de compétitivité, et non plus une simple obligation légale. Pour les entreprises algériennes, la distinction entre ces deux interprétations se mesurera en exposition aux sanctions.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qui doit nommer un délégué à la protection des données selon la loi 25-11 algérienne ?

Les entreprises impliquées dans des traitements de données personnelles à risque élevé sont tenues de désigner un DPD en vertu de la loi 25-11 (juillet 2025). Les traitements à risque élevé comprennent le profilage systématique, le traitement à grande échelle de données sensibles (santé, financier, biométrique) et les transferts transfrontaliers de données. Le DPD doit disposer d’une expertise en droit de la protection des données et ne peut exercer de rôle en conflit d’intérêts au sein de la même organisation. L’ANPDP est l’autorité de contrôle.

Quel est le délai de notification de violation et comment est-il calculé ?

En vertu de la loi 25-11, un responsable du traitement doit notifier l’ANPDP au plus tard cinq jours après avoir eu connaissance d’une violation de données personnelles. Les sous-traitants doivent notifier immédiatement le responsable du traitement dès la découverte. Le délai de 5 jours commence au moment où la prise de connaissance est documentée — non à partir du moment où la violation s’est produite. Cela nécessite un plan de réponse aux incidents préexistant et testé ; les processus ad hoc dépassent systématiquement cette fenêtre en pratique.

Comment le décret présidentiel 26-07 affecte-t-il les entreprises du secteur privé ?

Le décret 26-07 (7 janvier 2026) impose directement des unités de cybersécurité aux institutions publiques, y compris les entreprises publiques et les banques. Les entreprises privées algériennes et les banques à capitaux étrangers opérant en Algérie ne sont pas directement visées par ce décret, mais elles font face à des obligations équivalentes via leurs relations de partage de données avec des clients du secteur public et via le cadre loi 18-07 / loi 25-11. Les entreprises privées fournissant des services à des institutions publiques devraient traiter les exigences du décret 26-07 comme une attente contractuelle et de réputation.

Sources et lectures complémentaires