⚡ Points Clés

La Loi n° 25-11 algérienne (juillet 2025) amende le cadre fondateur de protection des données de la Loi 18-07, introduisant des obligations alignées sur le RGPD : un délai de notification de violation de 5 jours, des nominations obligatoires de DPO, des analyses d’impact sur la protection des données pour les traitements à risque élevé, et des registres d’activités de traitement opposables à une ANPDP opérationnelle. Les sanctions pénales atteignent 1 000 000 DZD et 5 ans d’emprisonnement.

En résumé : Les entreprises algériennes doivent immédiatement nommer un DPO désigné, construire une architecture de réponse aux violations capable de déposer une notification auprès de l’ANPDP dans les 5 jours, et auditer toutes les activités de traitement existantes pour leur statut de déclaration — en traitant ces trois actions comme des workstreams parallèles, pas une file séquentielle.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
La Loi 25-11 crée des obligations légales directes pour toute enterprise algérienne qui traite des données personnelles — ce qui en pratique signifie pratiquement toute entreprise avec des employés, des clients ou des services numériques. Les sanctions pénales et une ANPDP opérationnelle en font un enjeu de conformité à haute importance.
Calendrier d’action
Immédiat
La loi est entrée en vigueur en juillet 2025 et l’ANPDP est opérationnelle depuis août 2023. Les entreprises qui n’ont pas encore évalué leur posture face au cadre amendé sont déjà en position de non-conformité.
Parties prenantes clés
Responsables de la conformité enterprise, DRH, Directeurs techniques, Conseil juridique, DPO désignés
Assessment: Responsables de la conformité enterprise, DRH, Directeurs techniques, Conseil juridique, DPO désignés. Review the full article for detailed context and recommendations.
Type de décision
Stratégique
Atteindre la conformité à la Loi 25-11 nécessite une coordination multi-départements (juridique, informatique, RH, opérations) et ne peut pas être délégué à une seule équipe — c’est une décision de gouvernance avec une responsabilité au niveau du conseil d’administration.
Niveau de priorité
Critique
Les sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 1 000 000 DZD d’amendes, combinées à un délai de notification de violation de 5 jours, placent cela dans le niveau critique pour toute organisation détenant des données personnelles algériennes.

En bref: Les responsables de la conformité des entreprises algériennes doivent immédiatement nommer un DPO désigné, mener un sprint d’inventaire des données de 30 jours pour cartographier toutes les activités de traitement des données personnelles, et construire une architecture de réponse aux violations capable de déposer une notification auprès de l’ANPDP dans les 5 jours suivant la découverte — en traitant ces trois actions comme un workstream parallèle, pas une file séquentielle, étant donné que la capacité d’application de l’ANPDP est déjà active.

Publicité

Ce que la Loi 25-11 Change Réellement

Le parcours algérien en matière de protection des données a commencé avec la Loi n° 18-07 de juin 2018, qui a établi le cadre fondamental pour la protection des données personnelles et créé l’Autorité Nationale de Protection des Données (ANPDP). L’ANPDP est devenue opérationnelle en août 2023. La Loi 25-11, adoptée le 24 juillet 2025, est le premier amendement majeur à ce cadre — et elle représente une escalade significative en matière de conformité.

L’amendement est décrit par les experts juridiques comme « une étape supplémentaire dans l’alignement progressif du cadre de protection des données algérien sur les normes internationales, notamment le RGPD, à travers l’introduction d’exigences renforcées en matière de responsabilité, d’approche par les risques et de gouvernance. » En pratique, cela signifie cinq obligations nouvelles ou substantiellement renforcées :

  1. Délai de notification de violation de 5 jours : Les prestataires de services doivent notifier l’Autorité Nationale et les personnes concernées dans les 5 jours suivant la découverte d’une violation impliquant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles. Les violations à risque élevé nécessitent une notification claire en langage simple aux personnes concernées — pas seulement une notification réglementaire.
  2. Nomination obligatoire d’un DPO : Les responsables du traitement doivent nommer un Délégué à la Protection des Données. Contrairement au RGPD, qui limite le mandat de DPO à des catégories spécifiques de traitements à grande échelle ou de données sensibles, l’amendement algérien applique l’obligation plus largement.
  3. Analyses d’Impact sur la Protection des Données (AIPD) : Les organisations conduisant des traitements à risque élevé doivent compléter des AIPD avant le déploiement. Cela introduit une porte de pré-traitement formelle qui n’existait pas sous la loi originale de 2018.
  4. Registres d’activités de traitement : Les responsables et sous-traitants doivent maintenir des registres détaillés de toutes les activités de traitement des données, disponibles à la demande de l’ANPDP. L’obligation de tenue de registres est entrée en vigueur avec l’amendement 2025.
  5. Sanctions pénales : Les violations entraînent des sanctions pénales allant de 20 000 à 1 000 000 DZD et/ou un emprisonnement de 2 mois à 5 ans — une escalade significative par rapport à la posture d’application essentiellement administrative du cadre original.

La Journée Conformité & Cybersécurité tenue à Alger en avril 2026 a mis en avant la Loi 18-07 comme pièce maîtresse des discussions de conformité enterprise, avec des experts sectoriels soulignant que « la cybersécurité et la conformité doivent être intégrées au cœur de la stratégie d’entreprise » — un signal que l’application par l’ANPDP devient un sujet de conseil d’administration, pas seulement une préoccupation du département informatique.

Publicité

Un Cadre de Conformité en Quatre Piliers pour les Responsables des Risques Enterprise Algériens

1. Inventaire des Données et Nomination du DPO

Avant tout autre travail de conformité, une enterprise doit savoir quelles données personnelles elle détient, où elles vivent, qui les traite et dans quel but. L’obligation de la Loi 25-11 de maintenir des registres d’activités de traitement détaillés présuppose que cet inventaire existe — mais la plupart des entreprises algériennes n’ont pas de carte de données formelle.

Commencez par un sprint de 30 jours : identifiez chaque système qui stocke ou traite des données personnelles (plateformes RH, CRM, bases de données clients, outils marketing, services cloud), documentez la base juridique de chaque activité de traitement, et signalez les traitements les plus volumineux ou les plus sensibles pour la priorité AIPD. Simultanément, nommez un DPO. Cela ne nécessite pas un recrutement dédié : le DPO peut être un responsable de la conformité existant, un conseil juridique ou un consultant externe — mais la nomination doit être documentée et la personne désignée doit avoir le mandat, l’autorité et les ressources pour fonctionner de manière indépendante.

2. Architecture de Réponse aux Violations

Un délai de notification de 5 jours semble long jusqu’à ce qu’un incident survienne. En pratique, les organisations qui n’ont pas d’architecture de réponse aux violations pré-construite découvrent régulièrement des violations le troisième jour et passent les quatrième et cinquième jours à décider qui est en charge. La Loi 25-11 ne laisse pas une telle marge.

L’exigence de conformité ici est architecturale, pas seulement procédurale : vous avez besoin d’un système de classification des incidents documenté (ce qui constitue une violation notifiable), d’une personne nommée ayant autorité pour déclencher la chaîne de notification, d’un modèle de notification pré-rédigé pour l’ANPDP, et d’un processus de communication parallèle pour les personnes concernées. L’architecture de réponse aux violations doit être testée par des exercices sur table au moins une fois avant que l’application par l’ANPDP ne monte en puissance — et le test doit spécifiquement simuler une violation le week-end, car c’est là que la capacité de réponse est la plus faible et que l’horloge des 5 jours ne s’arrête pas.

3. Gouvernance des AIPD pour les Traitements à Risque Élevé

Les Analyses d’Impact sur la Protection des Données ne sont pas une case à cocher — elles sont une porte de développement produit. Sous la Loi 25-11, déployer un nouveau système traitant des données personnelles à risque élevé sans AIPD complétée expose l’organisation à la fois à des sanctions réglementaires et à une responsabilité pénale.

Définissez « risque élevé » pour votre contexte : cela inclut typiquement la surveillance des employés à grande échelle, le traitement de données biométriques, les systèmes de profilage clients et tout traitement impliquant des catégories sensibles (données de santé, historique financier, casiers judiciaires). Pour chaque déploiement qualifiant, le processus AIPD devrait : décrire le traitement et ses finalités ; évaluer la nécessité et la proportionnalité ; identifier les risques pour les personnes concernées ; documenter les contrôles qui atténuent ces risques ; et obtenir la validation du DPO avant la mise en production. Les organisations devraient également intégrer les révisions AIPD dans les modèles de gestion de projet afin que la porte soit structurelle, pas optionnelle.

4. Engagement avec l’ANPDP — Déclaration et Autorisation

La Loi 18-07, telle qu’amendée, exige que les organisations déposent des déclarations préalables auprès de l’ANPDP avant le début du traitement. Cette obligation est antérieure à la Loi 25-11 mais est maintenant appliquée par une autorité opérationnelle. L’ANPDP, suivie par le registre réglementaire de Digital Policy Alert, a le pouvoir d’émettre des autorisations, d’instruire des plaintes et d’imposer des sanctions administratives — avertissements, mises en demeure formelles et amendes — indépendamment des sanctions pénales disponibles pour les procureurs.

L’action de conformité pratique ici est d’auditer les activités de traitement existantes pour leur statut déclaré : toutes les activités de traitement actuelles ont-elles été déclarées à l’ANPDP ? Y a-t-il de nouvelles activités (migrations cloud, nouveaux outils analytiques, accords de partage de données avec des tiers) qui n’ont jamais été déclarées ? Déposer des déclarations rétroactives est bien moins coûteux que de défendre une investigation sur plainte. À l’avenir, intégrez la déclaration à l’ANPDP dans la même porte de projet que l’AIPD — les deux obligations sont déclenchées par les mêmes événements et devraient être gérées ensemble.

La Vue d’Ensemble

La Loi 25-11 n’est pas la fin de l’évolution algérienne en matière de protection des données — c’est une étape intermédiaire. L’amendement 2025 représente une convergence délibérée avec la logique du RGPD, et la posture opérationnelle de l’ANPDP depuis août 2023 montre une autorité qui développe sa capacité d’application. La trajectoire réglementaire documentée par le tracker mondial de protection des données de DLA Piper place l’Algérie fermement dans un groupe d’économies émergentes qui sont passées de cadres nominaux de protection des données à des régimes d’application active sur une fenêtre de trois à cinq ans.

Pour les entreprises algériennes, la fenêtre de conformité à faible coût est maintenant. L’ANPDP est encore en phase de construction institutionnelle, les précédents d’application sont peu nombreux, et l’infrastructure de conformité établie aujourd’hui — DPO, réponse aux violations, gouvernance AIPD, déclarations ANPDP — représente une posture défendable qui servira les organisations lors du prochain cycle d’amendements. Attendre une action d’application ou un événement de violation pour déclencher l’investissement en conformité est le chemin le plus coûteux disponible.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Quel est le délai de notification de violation sous la Loi 25-11 algérienne ?

Les prestataires de services doivent notifier à la fois l’Autorité Nationale de Protection des Données (ANPDP) et les personnes concernées dans les 5 jours calendaires suivant la découverte d’une violation impliquant la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données personnelles. Pour les violations à risque élevé, la notification aux personnes concernées doit être rédigée en langage clair et accessible. La fenêtre de 5 jours commence à la date de découverte, pas à la date de la violation elle-même.

La Loi 25-11 impose-t-elle à toutes les entreprises algériennes de nommer un Délégué à la Protection des Données ?

Oui. Contrairement au RGPD de l’UE, qui limite la nomination obligatoire de DPO à des catégories spécifiques de traiteurs (traitement à grande échelle, données sensibles, autorités publiques), l’amendement algérien de la Loi 25-11 introduit un mandat de DPO plus large. Le DPO peut être un employé interne (conseil juridique, responsable de la conformité) ou un consultant externe, mais doit être formellement nommé avec une autorité documentée et une indépendance opérationnelle. La nomination elle-même doit être enregistrée dans le cadre des registres d’activités de traitement.

Quelles sanctions l’ANPDP a-t-elle le pouvoir d’imposer dans le cadre amendé ?

L’ANPDP peut imposer des sanctions administratives de manière indépendante : avertissements, mises en demeure formelles et amendes. Pour les violations atteignant le seuil pénal, les procureurs peuvent poursuivre des sanctions de 20 000 à 1 000 000 DZD d’amendes et/ou de 2 mois à 5 ans d’emprisonnement. Ces deux voies sont distinctes : une action administrative de l’ANPDP n’exclut pas un renvoi pénal ultérieur, et vice versa. La combinaison fait de la non-conformité à la Loi 25-11 un risque juridique matériel, pas seulement un désagrément réglementaire.

Sources et lectures complémentaires