⚡ Points Clés

La Loi 25-11 du 24 juillet 2025 modifie la Loi 18-07 en introduisant la responsabilité, l'approche fondée sur le risque et la documentation des missions du DPO. Les responsables de traitement doivent tenir un registre, mener des AIPD pour les traitements à risque élevé et constituer un dossier DPO auditable.

En résumé : Les DSI et responsables conformité algériens devraient faire de 2026 l'année où l'on rend opérationnel le bloc responsabilité — registre, AIPD, dossier DPO et réponse aux violations — plutôt que d'attendre des textes d'application.

Lire l’analyse complète ↓

Publicité

🧭 Radar de Décision

Dimension
Évaluation
This dimension (Évaluation) is an important factor in evaluating the article's implications.
Pertinence pour l'Algérie
Élevé
La Loi 25-11 s'applique à toute organisation algérienne qui traite des données personnelles — des banques et opérateurs télécoms aux startups et PME — ce qui fait de la mise à niveau sur la responsabilité un sujet de conformité grand public.
Calendrier d'action
Immédiat
Les obligations sont déjà en vigueur depuis l'adoption du 24 juillet 2025 ; les responsables de traitement devraient avoir le DPO, le registre et le processus d'AIPD opérationnels pendant 2026.
Parties prenantes clés
DSI, DPO, directions juridiques, responsables conformité
Type de décision
Tactique
L'article appuie des décisions opérationnelles concrètes — qui désigner comme DPO, quels processus documenter en priorité, où lancer les AIPD.
Niveau de priorité
Élevé
La responsabilité est le filtre par lequel l'ANPDP évaluera toutes les autres obligations ; les lacunes documentaires se transforment donc directement en exposition juridique.

En bref: Les responsables de traitement algériens devraient considérer la Loi 25-11 comme une obligation de produire des preuves, et pas seulement de bien se comporter. Construire le registre, désigner le DPO et lancer des AIPD sur les deux ou trois traitements les plus risqués doit passer avant tout autre chantier de conformité.

Une nouvelle couche de responsabilité sur la Loi 18-07

La loi originelle de protection des données en Algérie — la Loi 18-07 du 10 juin 2018 — a créé l’Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP) et fixé les principes de base du traitement. Elle n’obligeait toutefois pas les organisations à prouver leur conformité. Les responsables de traitement pouvaient affirmer respecter les règles sans jamais rien documenter.

La Loi n° 25-11 du 24 juillet 2025, modifiant et complétant la Loi 18-07, comble ce vide. Selon le guide d’expert CMS sur la protection des données en Algérie, l’amendement de 2025 introduit « des exigences renforcées de responsabilité, d’approche fondée sur le risque et de gouvernance », ainsi que des définitions spécifiques pour les données biométriques, le profilage, la pseudonymisation et les violations de données. En pratique, les responsables de traitement algériens doivent désormais constituer et conserver les preuves de la façon dont ils traitent les données personnelles.

Cet article est un guide explicatif destiné aux entreprises et aux équipes techniques qui se préparent à 2026. Il se concentre sur ce que signifient, au quotidien, le principe de responsabilité, l’approche fondée sur le risque et la documentation du DPO — et non sur une critique d’une quelconque autorité.

Le principe de responsabilité au quotidien

Avec l’amendement, le responsable de traitement n’est plus jugé uniquement sur les résultats (y a-t-il eu une violation ?), mais aussi sur le processus (pouvez-vous montrer les mesures prises ?). Concrètement, cela se traduit par trois jeux de documentation qu’une équipe data moderne doit entretenir :

  • Registre des activités de traitement — un registre vivant qui liste chaque finalité, les catégories de données, la durée de conservation, les destinataires et les mesures de sécurité. C’est l’artefact le plus important lors de toute inspection future de l’ANPDP.
  • Politiques et procédures — politique de protection des données écrite, plan de conservation, procédure de droits des personnes concernées et plan de réponse aux violations.
  • Journaux de formation et contrôle des accès — preuves que le personnel qui manipule des données a été formé et que les accès aux registres sont restreints et journalisés.

Comme le note CookieYes dans son guide Algérie, l’amendement de 2025 rapproche le cadre algérien du Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, ce qui est utile : la plupart des gabarits produits par un programme RGPD existant (registres, modèles d’AIPD, clauses contractuelles) peuvent être adaptés plutôt que reconstruits.

Gouvernance fondée sur le risque : AIPD et consultation préalable

La Loi 25-11 introduit une approche fondée sur le risque. Plus le traitement est large et sensible, plus la documentation et la revue doivent être approfondies. Deux outils portent l’essentiel du poids :

  1. Les Analyses d’Impact relatives à la Protection des Données (AIPD), obligatoires pour les traitements à risque élevé — par exemple un traitement biométrique à grande échelle, une surveillance systématique d’un espace public, ou un profilage produisant des effets juridiques. L’AIPD doit décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques pour les personnes concernées et lister les mesures d’atténuation.
  2. La consultation préalable de l’ANPDP lorsque l’AIPD révèle un risque résiduel élevé que le responsable de traitement ne peut pas atténuer seul. Dans ce cas, le traitement ne peut démarrer qu’après consultation de l’autorité.

Le chapitre Algérie de DLA Piper confirme que l’AIPD et la procédure de consultation préalable font partie du cadre modifié, en miroir des articles 35 et 36 du RGPD. Les banques, les assureurs, les plateformes de santé et les entreprises d’e-commerce qui s’appuient sur le profilage comportemental sont pleinement concernés.

Publicité

Le dossier DPO : plus qu’une simple carte de visite

La désignation d’un Délégué à la Protection des Données devient obligatoire pour les organisations qui traitent à grande échelle ou qui manipulent des catégories sensibles. Mais la loi ne s’arrête pas au titre — elle attend que les activités du DPO soient documentées et auditables.

Un dossier DPO conforme doit contenir :

  • La lettre de désignation, avec description des missions et ligne hiérarchique (le DPO doit remonter au plus haut niveau de la direction).
  • Les qualifications du DPO — formations pertinentes, certifications, ou expérience professionnelle en protection des données.
  • Un plan de travail annuel et les preuves de son exécution (audits menés, AIPD revues, sessions de formation délivrées).
  • Un journal des demandes des personnes concernées (accès, rectification, effacement) et des interactions avec l’ANPDP.
  • Une déclaration d’indépendance : le DPO ne doit recevoir aucune instruction sur la manière d’accomplir ses missions et ne peut être sanctionné pour les avoir accomplies.

Un même DPO peut être désigné pour plusieurs organisations si leur taille et leur structure le permettent — utile pour les groupes algériens à filiales multiples, ou pour les petites entreprises qui mutualisent un DPO externe.

Checklist pratique de conformité pour 2026

Pour les DSI, les directions juridiques et les responsables conformité des entreprises algériennes, la checklist suivante couvre les obligations clés créées par la Loi 25-11 :

  • [ ] Désigner un DPO (interne ou externe) et publier ses coordonnées.
  • [ ] Construire un Registre des Activités de Traitement couvrant chaque processus qui touche aux données personnelles.
  • [ ] Cartographier les traitements face aux critères « risque élevé » et lancer des AIPD là où elles s’imposent.
  • [ ] Mettre à jour les mentions d’information sur les sites web et applications pour refléter les nouveaux droits et les coordonnées du DPO.
  • [ ] Mettre en place une procédure de réponse aux violations prête en 72 heures, alignée sur les règles de notification de la Loi 25-11.
  • [ ] Former chaque année le personnel qui manipule des données et conserver les feuilles de présence.
  • [ ] Ajouter des clauses de protection des données à tous les contrats avec les sous-traitants (hébergement, SaaS, paie, marketing).
  • [ ] Réexaminer les transferts hors frontières et documenter la base légale de chacun.

Aucun de ces points n’exige d’attendre des textes d’application — ils découlent directement de la Loi 18-07 amendée et peuvent être mis en œuvre dès maintenant avec des gabarits de type RGPD adaptés au contexte algérien.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Quand la Loi 25-11 entre-t-elle en vigueur en Algérie ?

La Loi 25-11 a été adoptée le 24 juillet 2025 et modifie la Loi 18-07 de 2018. Ses obligations centrales — responsabilité, désignation du DPO, AIPD et notification des violations — sont déjà en vigueur. Les textes d’application pourront préciser les détails, mais les entreprises doivent considérer les exigences comme actives en 2026.

Les petites entreprises algériennes doivent-elles désigner un DPO ?

Le DPO est obligatoire lorsqu’une organisation traite des données à grande échelle ou manipule des catégories sensibles (santé, biométrie, profilage). Les très petites entreprises à traitements limités peuvent être exemptées, mais la mutualisation d’un DPO externe entre plusieurs petites entités est explicitement permise par l’amendement.

Comment la Loi 25-11 se compare-t-elle au RGPD pour les entreprises algériennes ?

L’amendement de 2025 rapproche le cadre algérien du RGPD sur la responsabilité, les AIPD, les missions du DPO, la notification des violations et les droits des personnes concernées. Les entreprises qui font déjà tourner un programme RGPD peuvent adapter la plupart de leur documentation existante. Les principales spécificités locales sont le rôle de l’ANPDP et les sanctions pénales attachées à certaines infractions du droit algérien.

Questions fréquentes

Quand la Loi 25-11 entre-t-elle en vigueur en Algérie ?

La Loi 25-11 a été adoptée le 24 juillet 2025 et modifie la Loi 18-07 de 2018. Ses obligations centrales — responsabilité, désignation du DPO, AIPD et notification des violations — sont déjà en vigueur. Les textes d’application pourront préciser les détails, mais les entreprises doivent considérer les exigences comme actives en 2026.

Les petites entreprises algériennes doivent-elles désigner un DPO ?

Le DPO est obligatoire lorsqu’une organisation traite des données à grande échelle ou manipule des catégories sensibles (santé, biométrie, profilage). Les très petites entreprises à traitements limités peuvent être exemptées, mais la mutualisation d’un DPO externe entre plusieurs petites entités est explicitement permise par l’amendement.

Comment la Loi 25-11 se compare-t-elle au RGPD pour les entreprises algériennes ?

L’amendement de 2025 rapproche le cadre algérien du RGPD sur la responsabilité, les AIPD, les missions du DPO, la notification des violations et les droits des personnes concernées. Les entreprises qui font déjà tourner un programme RGPD peuvent adapter la plupart de leur documentation existante. Les principales spécificités locales sont le rôle de l’ANPDP et les sanctions pénales attachées à certaines infractions du droit algérien.

Sources et lectures complémentaires