Une nouvelle couche de responsabilité sur la Loi 18-07
La loi originelle de protection des données en Algérie — la Loi 18-07 du 10 juin 2018 — a créé l’Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP) et fixé les principes de base du traitement. Elle n’obligeait toutefois pas les organisations à prouver leur conformité. Les responsables de traitement pouvaient affirmer respecter les règles sans jamais rien documenter.
La Loi n° 25-11 du 24 juillet 2025, modifiant et complétant la Loi 18-07, comble ce vide. Selon le guide d’expert CMS sur la protection des données en Algérie, l’amendement de 2025 introduit « des exigences renforcées de responsabilité, d’approche fondée sur le risque et de gouvernance », ainsi que des définitions spécifiques pour les données biométriques, le profilage, la pseudonymisation et les violations de données. En pratique, les responsables de traitement algériens doivent désormais constituer et conserver les preuves de la façon dont ils traitent les données personnelles.
Cet article est un guide explicatif destiné aux entreprises et aux équipes techniques qui se préparent à 2026. Il se concentre sur ce que signifient, au quotidien, le principe de responsabilité, l’approche fondée sur le risque et la documentation du DPO — et non sur une critique d’une quelconque autorité.
Le principe de responsabilité au quotidien
Avec l’amendement, le responsable de traitement n’est plus jugé uniquement sur les résultats (y a-t-il eu une violation ?), mais aussi sur le processus (pouvez-vous montrer les mesures prises ?). Concrètement, cela se traduit par trois jeux de documentation qu’une équipe data moderne doit entretenir :
- Registre des activités de traitement — un registre vivant qui liste chaque finalité, les catégories de données, la durée de conservation, les destinataires et les mesures de sécurité. C’est l’artefact le plus important lors de toute inspection future de l’ANPDP.
- Politiques et procédures — politique de protection des données écrite, plan de conservation, procédure de droits des personnes concernées et plan de réponse aux violations.
- Journaux de formation et contrôle des accès — preuves que le personnel qui manipule des données a été formé et que les accès aux registres sont restreints et journalisés.
Comme le note CookieYes dans son guide Algérie, l’amendement de 2025 rapproche le cadre algérien du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, ce qui est utile : la plupart des gabarits produits par un programme RGPD existant (registres, modèles d’AIPD, clauses contractuelles) peuvent être adaptés plutôt que reconstruits.
Gouvernance fondée sur le risque : AIPD et consultation préalable
La Loi 25-11 introduit une approche fondée sur le risque. Plus le traitement est large et sensible, plus la documentation et la revue doivent être approfondies. Deux outils portent l’essentiel du poids :
- Les Analyses d’Impact relatives à la Protection des Données (AIPD), obligatoires pour les traitements à risque élevé — par exemple un traitement biométrique à grande échelle, une surveillance systématique d’un espace public, ou un profilage produisant des effets juridiques. L’AIPD doit décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques pour les personnes concernées et lister les mesures d’atténuation.
- La consultation préalable de l’ANPDP lorsque l’AIPD révèle un risque résiduel élevé que le responsable de traitement ne peut pas atténuer seul. Dans ce cas, le traitement ne peut démarrer qu’après consultation de l’autorité.
Le chapitre Algérie de DLA Piper confirme que l’AIPD et la procédure de consultation préalable font partie du cadre modifié, en miroir des articles 35 et 36 du RGPD. Les banques, les assureurs, les plateformes de santé et les entreprises d’e-commerce qui s’appuient sur le profilage comportemental sont pleinement concernés.
Publicité
Le dossier DPO : plus qu’une simple carte de visite
La désignation d’un Délégué à la Protection des Données devient obligatoire pour les organisations qui traitent à grande échelle ou qui manipulent des catégories sensibles. Mais la loi ne s’arrête pas au titre — elle attend que les activités du DPO soient documentées et auditables.
Un dossier DPO conforme doit contenir :
- La lettre de désignation, avec description des missions et ligne hiérarchique (le DPO doit remonter au plus haut niveau de la direction).
- Les qualifications du DPO — formations pertinentes, certifications, ou expérience professionnelle en protection des données.
- Un plan de travail annuel et les preuves de son exécution (audits menés, AIPD revues, sessions de formation délivrées).
- Un journal des demandes des personnes concernées (accès, rectification, effacement) et des interactions avec l’ANPDP.
- Une déclaration d’indépendance : le DPO ne doit recevoir aucune instruction sur la manière d’accomplir ses missions et ne peut être sanctionné pour les avoir accomplies.
Un même DPO peut être désigné pour plusieurs organisations si leur taille et leur structure le permettent — utile pour les groupes algériens à filiales multiples, ou pour les petites entreprises qui mutualisent un DPO externe.
Checklist pratique de conformité pour 2026
Pour les DSI, les directions juridiques et les responsables conformité des entreprises algériennes, la checklist suivante couvre les obligations clés créées par la Loi 25-11 :
- [ ] Désigner un DPO (interne ou externe) et publier ses coordonnées.
- [ ] Construire un Registre des Activités de Traitement couvrant chaque processus qui touche aux données personnelles.
- [ ] Cartographier les traitements face aux critères « risque élevé » et lancer des AIPD là où elles s’imposent.
- [ ] Mettre à jour les mentions d’information sur les sites web et applications pour refléter les nouveaux droits et les coordonnées du DPO.
- [ ] Mettre en place une procédure de réponse aux violations prête en 72 heures, alignée sur les règles de notification de la Loi 25-11.
- [ ] Former chaque année le personnel qui manipule des données et conserver les feuilles de présence.
- [ ] Ajouter des clauses de protection des données à tous les contrats avec les sous-traitants (hébergement, SaaS, paie, marketing).
- [ ] Réexaminer les transferts hors frontières et documenter la base légale de chacun.
Aucun de ces points n’exige d’attendre des textes d’application — ils découlent directement de la Loi 18-07 amendée et peuvent être mis en œuvre dès maintenant avec des gabarits de type RGPD adaptés au contexte algérien.
Un cadre de conformité en quatre piliers pour les responsables du traitement algériens
La checklist ci-dessus liste quoi faire ; ce cadre explique comment séquencer et opérationnaliser les huit points sous des contraintes réelles de temps et de budget.
Pilier 1 : Le ROPA en premier — Avant toute autre chose
Le Registre des activités de traitement est le document de responsabilité dont dépendent toutes les autres obligations de conformité. Sans lui, le DPO ne peut pas mener d’AIPD, l’équipe juridique ne peut pas auditer les contrats avec les sous-traitants, et l’ANPDP ne peut pas conduire une inspection significative. Construisez le ROPA comme un tableur vivant listant chaque activité de traitement, la base juridique du traitement, les catégories de données concernées, la durée de conservation, les destinataires et les mesures de sécurité en place. Commencez par les cinq activités les plus risquées — en général les systèmes RH, les bases de données clients et toute plateforme utilisant le profilage comportemental — et élargissez le registre mensuellement. Le modèle du Comité européen de la protection des données, directement adaptable au contexte algérien, prend moins de deux jours à personnaliser pour une organisation de taille moyenne.
Pilier 2 : Nomination du DPO — La qualification compte autant que le titre
Nommer un DPO-as-a-service auprès d’un cabinet juridique français ou algérien satisfait l’obligation légale mais construit rarement une capacité de conformité interne. Pour les organisations qui traitent des données personnelles à grande échelle, l’approche privilégiée est d’identifier un candidat interne — provenant généralement des fonctions juridique, gouvernance IT ou gestion des risques — et d’investir dans sa qualification via une certification reconnue en protection des données (le CIPP/E de l’IAPP est la plus largement reconnue). Le plan de travail annuel du DPO devrait inclure au moins deux audits internes des activités à haut risque, une revue d’AIPD par trimestre, et des sessions de formation documentées pour les unités opérationnelles.
Pilier 3 : Mener les AIPD — Prioriser biométrie, profilage et traitement à grande échelle
La Loi 25-11 exige des AIPD pour les traitements à haut risque mais ne précise pas de méthodologie d’auto-évaluation. La méthodologie AIPD de la CNIL, disponible publiquement et conforme à l’article 35 du RGPD, est la référence la plus détaillée en français. Pour la plupart des entreprises algériennes, les trois activités les plus susceptibles d’exiger une AIPD sont les systèmes biométriques de présence ou d’accès, le profilage comportemental des clients à des fins d’offres ciblées, et le traitement à grande échelle de données de santé. Une AIPD pour une activité de complexité moyenne demande environ 40 heures-personnes la première fois et 10 heures pour les revues annuelles suivantes.
Pilier 4 : Réponse aux violations — Construire la capacité de notification à 72 heures avant d’en avoir besoin
La Loi 25-11 aligne le cadre algérien de notification des violations sur la règle des 72 heures du RGPD. La plupart des organisations algériennes découvrent leur exposition à cette exigence uniquement lors d’une violation. Le travail de préparation est simple mais doit être fait à l’avance : désigner un responsable nommé de la réponse aux violations, documenter le chemin d’escalade interne de la détection initiale à la notification de l’ANPDP, pré-rédiger le modèle de notification avec les cinq champs obligatoires, et organiser un exercice de table simulant un incident ransomware affectant la base de données employés. Le guide CookieYes Algérie confirme que le délai de 72 heures commence à la prise de connaissance, pas à l’impact confirmé.
Travailler stratégiquement avec l’ANPDP
Le cadre en quatre piliers décrit ci-dessus détaille les exigences de la conformité. La question stratégique pour les responsables du traitement algériens en 2026 est de savoir comment s’engager avec l’ANPDP comme partenaire dans la mise en œuvre, et pas seulement comme autorité d’inspection. Le mécanisme de consultation préalable de la Loi 25-11 — qui oblige les responsables à approcher l’ANPDP lorsqu’une AIPD révèle un risque résiduel élevé — n’est pas uniquement un obstacle bureaucratique. C’est aussi un canal permettant aux organisations d’obtenir des orientations contraignantes avant qu’une activité de traitement litigieuse ne commence, plutôt qu’après qu’une violation ou une plainte déclenche une procédure formelle. Les responsables des secteurs bancaire, assurance et santé, où les activités biométriques et de profilage sont les plus susceptibles de déclencher des exigences d’AIPD, devraient envisager d’utiliser la voie de consultation préalable de manière proactive en 2026 — en établissant une relation documentée avec l’ANPDP sur une question à moindre enjeu avant qu’une question à enjeu élevé ne se présente.
Le chapitre DLA Piper Algérie note que l’ANPDP développe encore sa pratique de contrôle dans le cadre amendé. Les premiers acteurs qui soumettent des AIPD bien structurées et des demandes de consultation préalable au cours de la première année d’application créent une bonne volonté et des connaissances opérationnelles que les organisations attendant des orientations formelles n’auront pas. La CNIL française a construit une grande partie de sa doctrine d’application pratique grâce à l’engagement avec des organisations conformes au début des années suivant la mise en œuvre du RGPD en 2018 ; l’ANPDP est au même moment équivalent. Les DPO algériens qui traitent 2026 comme l’année pour établir une relation professionnelle avec l’autorité, plutôt que l’année pour éviter son attention, seront mieux positionnés lorsque la première vague d’application arrivera.
Questions Fréquemment Posées
Quand la Loi 25-11 entre-t-elle en vigueur en Algérie ?
La Loi 25-11 a été adoptée le 24 juillet 2025 et modifie la Loi 18-07 de 2018. Ses obligations centrales — responsabilité, désignation du DPO, AIPD et notification des violations — sont déjà en vigueur. Les textes d’application pourront préciser les détails, mais les entreprises doivent considérer les exigences comme actives en 2026.
Les petites entreprises algériennes doivent-elles désigner un DPO ?
Le DPO est obligatoire lorsqu’une organisation traite des données à grande échelle ou manipule des catégories sensibles (santé, biométrie, profilage). Les très petites entreprises à traitements limités peuvent être exemptées, mais la mutualisation d’un DPO externe entre plusieurs petites entités est explicitement permise par l’amendement.
Comment la Loi 25-11 se compare-t-elle au RGPD pour les entreprises algériennes ?
L’amendement de 2025 rapproche le cadre algérien du RGPD sur la responsabilité, les AIPD, les missions du DPO, la notification des violations et les droits des personnes concernées. Les entreprises qui font déjà tourner un programme RGPD peuvent adapter la plupart de leur documentation existante. Les principales spécificités locales sont le rôle de l’ANPDP et les sanctions pénales attachées à certaines infractions du droit algérien.
