Loi 25-11 : La règle des 5 jours expliquée

Publié le mai 23, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

La Loi algérienne 25-11 (juillet 2025) a modifié la Loi 18-07 pour exiger une notification obligatoire de violation à l’ANPDP sous 5 jours, la désignation d’un DPO qualifié, des DPIA pour les traitements à haut risque, et des journaux d’opérations automatisés. Les sanctions pénales atteignent désormais 10 ans d’emprisonnement et 10 millions DZD d’amendes.

En résumé: Les entreprises algériennes doivent accomplir trois actions immédiates : désigner un DPO qualifié avec mandat écrit formel, construire le registre de traitement à partir des processus métier, et valider le délai de notification de 5 jours via un exercice sur table avant le premier audit sectoriel de l’ANPDP.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

La Loi 25-11 crée des obligations exécutoires pour chaque organisation algérienne traitant des données personnelles — le délai de notification de 5 jours, la désignation du DPD et les exigences DPIA sont en vigueur avec des sanctions pénales pouvant aller jusqu’à 10 ans.

Calendrier d’action
Immédiat
▾

L’ANPDP est opérationnel depuis août 2023 ; l’amendement Loi 25-11 est en vigueur ; le cycle d’application est en cours. La désignation du DPD et le registre de traitement sont les premières livrables.

Parties prenantes clés
Responsables conformité, DPD, RSSI, équipes juridiques, directeurs informatiques du secteur public
▾

Assessment: Responsables conformité, DPD, RSSI, équipes juridiques, directeurs informatiques du secteur public. Review the full article for detailed context and recommendations.

Type de décision
Stratégique
▾

La conformité à la Loi 25-11 nécessite un changement organisationnel structurel — désignation du DPD, construction du registre, programme DPIA, procédure de réponse aux violations — et non un projet ponctuel.

Niveau de priorité
Critique
▾

Les sanctions pénales pouvant atteindre 10 ans et 10 000 000 DZD d’amendes, combinées à la posture d’application active de l’ANPDP, font du report de conformité un risque légal et commercial matériel.

En bref: Les responsables conformité des entreprises algériennes doivent prioriser trois livrables immédiats : désigner ou nommer un DPD qualifié avec un mandat écrit formel ; construire le registre de traitement de l’article 41 bis 2 en partant des processus métier, et non des systèmes informatiques ; et réaliser un exercice sur table contre le délai de notification de 5 jours pour valider que le journal et la procédure de réponse sont opérationnels avant que le premier audit sectoriel de l’ANPDP n’atteigne leur secteur.

Ce que la Loi 25-11 a Réellement Changé — et Pourquoi Cela Compte Maintenant

L’Algérie dispose d’une loi sur la protection des données depuis juin 2018 — la Loi 18-07, cadre fondamental instaurant l’Autorité Nationale de Protection des Données Personnelles (ANPDP). Pendant trois ans, la loi a existé sans organe d’application actif. Cela a changé en août 2023, lorsque l’ANPDP est devenu opérationnel, rendant les obligations de conformité et de notification concrètes.

Puis, en juillet 2025, le législateur algérien a adopté la Loi 25-11, amendant la Loi 18-07 avec quatre ajouts structurels qui modifient substantiellement les obligations des entreprises :

Une obligation de notification de violation sous 5 jours à l’ANPDP dès que le responsable de traitement a connaissance d’une violation
La désignation obligatoire d’un Délégué à la Protection des Données (DPD) avec des standards de qualification explicites
Des Analyses d’Impact relatives à la Protection des Données (DPIA) obligatoires pour les traitements à haut risque
Un registre des activités de traitement (article 41 bis 2) et un journal automatisé des opérations (article 41 bis 3)

Chacune de ces obligations interagit avec les autres. Le délai de 5 jours est inapplicable sans le registre. Le registre révèle les activités nécessitant une DPIA. Le DPD est responsable des quatre.

Les Quatre Obligations en Détail

Ce que la Loi 25-11 exige pour la notification de violation

L’article 41 bis 4 de la loi amendée stipule que les responsables de traitement doivent « notifier l’Autorité au plus tard cinq (5) jours après avoir eu connaissance d’une violation de données personnelles. » Les sous-traitants — prestataires cloud, infogérants, services de paie, tout fournisseur traitant des données personnelles pour le compte du responsable — doivent notifier le responsable « immédiatement après découverte. » Le délai de 5 jours court à partir de la prise de connaissance du responsable, et non de la découverte par le sous-traitant.

La notification à l’ANPDP doit préciser la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’enregistrements, les conséquences probables, et les mesures prises ou envisagées.

Ce qu’exige la désignation du DPD

Le DPD doit être sélectionné sur la base de « qualifications professionnelles, notamment une connaissance spécialisée du droit et des pratiques relatifs à la protection des données. » Un responsable IT généraliste sans formation juridique ne répond pas à ce critère. Le DPD doit bénéficier d’un accès à la direction générale et d’une indépendance organisationnelle.

Ce que la DPIA exige et quand elle se déclenche

Les obligations DPIA s’appliquent aux traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques. » Les catégories déclenchantes comprennent le profilage systématique, le traitement à grande échelle de données sensibles (santé, biométrie, casier judiciaire) et la surveillance systématique d’espaces publics.

Ce qu’exigent le registre de traitement et le journal

L’article 41 bis 2 exige un registre écrit ou électronique de toutes les activités de traitement, incluant la finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. L’article 41 bis 3 exige un journal automatisé enregistrant les événements opérationnels réels — accès, modification, suppression. Le journal est la pièce que l’ANPDP examinera lors d’un contrôle déclenché par une notification de violation.

Un Cadre de Conformité en Quatre Piliers pour les Entreprises Algériennes

1. Désignation du DPD et documentation du mandat

Ne laissez pas le rôle de DPD être absorbé par le RSSI ou l’équipe juridique sans nomination formelle. La désignation doit être écrite, préciser le périmètre d’action et la ligne hiérarchique, confirmer l’accès à toutes les activités de traitement pertinentes, et fournir les coordonnées pour la communication avec l’ANPDP. Pour les entreprises manquant de candidats internes qualifiés, les services DPD externalisés — plusieurs praticiens affiliés à SOLTIC Algérie ont signalé leur disponibilité — constituent une solution intérimaire viable.

2. Registre de traitement — Construire de haut en bas, pas de bas en haut

Le schéma d’échec le plus courant dans les implémentations comparables consiste à construire le registre comme un inventaire informatique qui part des systèmes pour dériver les finalités. Commencez plutôt par les processus métier : que fait réellement votre organisation avec les données personnelles ? Recrutement, paie, gestion clients, contrats fournisseurs, contrôle d’accès, analytique. Cartographiez chaque processus en regard des catégories de données, de la base légale, de la durée de conservation et des flux vers les sous-traitants. L’inventaire informatique vient en second, confirmant où résident les données — pas définissant ce qu’est le processus. Un registre ainsi construit produit automatiquement la liste des déclencheurs de DPIA.

3. Journal automatisé — Traiter comme un contrôle de sécurité, pas comme de la paperasse

L’exigence de journal automatisé de l’article 41 bis 3 correspond presque exactement à ce que les équipes SOC appellent une piste d’audit ou un journal SIEM. Si votre organisation dispose déjà d’un SIEM, vous avez la matière première — la tâche est d’assurer la couverture de toutes les activités de traitement listées dans le registre, pas seulement des événements de sécurité périmétrique. Si vous ne disposez pas de journalisation automatisée au niveau du traitement de données, priorisez les activités à plus haut risque en premier.

4. Procédure de réponse aux violations — Opérer le délai de 5 jours avant d’en avoir besoin

Le délai de notification de 5 jours ne sera applicable que si vous avez réalisé un exercice sur table au préalable. La procédure doit définir : qui déclare une violation (RSSI ? DPD ? les deux ?), qui rédige la notification à l’ANPDP, quelles données du journal alimentent la notification, qui valide et soumet, et à quoi ressemble la chaîne de notification sous-traitant. L’analyse TÜV Rhineland de la Loi 25-11 note que la chaîne sous-traitant→responsable→autorité nécessite des délais contractuels préconvenus avec chaque sous-traitant.

La Trajectoire d’Application : Ce que l’ANPDP Cherchera en Premier

Le premier cycle d’application dans des régimes comparables (CNDP du Maroc, INPDP de Tunisie) a ciblé les obligations les plus visibles et vérifiables : désignation du DPD (ou son absence), existence d’un registre de traitement, et respect des délais de notification lors d’incidents publics. Les organisations du secteur financier, des télécommunications et du commerce électronique ont fait l’objet du contrôle le plus précoce.

Les entreprises algériennes dans ces secteurs doivent supposer qu’elles se trouvent dans la première vague. L’analyse Africa Data Protection de digitalpolicyalert.org note que la Loi 25-11 algérienne l’amène à un niveau d’obligation comparable au POPIA sud-africain et à la DPA kenyane — tous deux passés à une application active dans les 18 mois suivant leurs principaux amendements.

La Leçon Structurelle : Les Obligations sont des Contrôles de Sécurité Déguisés

Chaque obligation de la Loi 25-11 est également un contrôle de sécurité. La désignation du DPD construit la responsabilité organisationnelle. Le registre de traitement révèle des flux de données que les équipes de sécurité peuvent ne pas avoir connus. Le journal automatisé crée la piste d’audit dont les enquêteurs forensiques ont besoin. Le délai de notification de 5 jours force l’investissement dans les capacités de détection.

Les organisations qui traitent ces obligations comme des exercices de conformité bureaucratiques passeront des mois à construire des artéfacts papier qui ne résisteront pas à l’épreuve d’un incident réel. Les organisations qui les traitent comme des contrôles de sécurité constateront que conformité et résilience se renforcent mutuellement.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

La règle de notification de 5 jours de la Loi 25-11 s’applique-t-elle à toutes les organisations ou seulement aux grandes entreprises ?

La Loi 25-11 s’applique à tous les responsables de traitement traitant des données personnelles en Algérie — il n’existe pas de seuil de taille. Les institutions publiques comme les entreprises privées qui collectent, stockent ou traitent des données personnelles sur des individus sont soumises à l’obligation de notification sous 5 jours à l’ANPDP lors d’une violation. L’ANPDP priorisera vraisemblablement les contrôles auprès des traiteurs de gros volumes dans les services financiers, les télécommunications et le commerce électronique lors de ses premiers cycles d’audit.

Quelle est la différence entre une DPIA et un registre de traitement en droit algérien ?

Le registre de traitement (article 41 bis 2) est un inventaire complet de toutes les activités de traitement de données personnelles d’une organisation — leur finalité, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité. Il est toujours requis. Une DPIA va plus loin pour des activités de traitement à haut risque spécifiques : elle évalue la nécessité et la proportionnalité du traitement, examine les risques pour les personnes concernées et documente les mesures d’atténuation. Le registre identifie les activités nécessitant une DPIA ; la DPIA documente l’évaluation des risques pour chaque activité qualifiante.

Que se passe-t-il si une entreprise manque le délai de notification de 5 jours ?

Ne pas respecter le délai de 5 jours expose l’organisation au circuit d’application administrative de l’ANPDP, qui débute par une mise en demeure de se conformer et peut évoluer vers le retrait d’autorisation — l’ANPDP peut suspendre le droit de l’organisation à traiter les données personnelles concernées. En cas de dissimulation délibérée ou de violation intentionnelle, des sanctions pénales s’appliquent : 2 mois à 10 ans d’emprisonnement et amendes de 5 000 à 10 000 000 DZD. La conséquence pratique la plus immédiate est qu’une notification tardive ou absente, une fois découverte, déclenchera un audit complet de la posture de conformité de l’organisation.