ARPCE Cloud 2026 : le playbook résidence des données

Publié le avril 19, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Le cadre algérien de résidence des données cloud repose sur la Loi 22-39 (janvier 2022), la Décision ARPCE n° 48/SP/PC/ARPT/17 (novembre 2017), et les autorisations d'opérateur de 7 ans renouvelables. En 2026, ISAAL, AYRADE, eBS et ADEX Cloud figurent parmi les principaux hébergeurs nationaux autorisés par l'ARPCE, avec d'autres opérateurs attendus à mesure que le Ministère de la Poste et des Télécommunications élargit le vivier d'acteurs sous licence.

En résumé : Les DSI algériens doivent auditer chaque fournisseur cloud par rapport à la liste d'autorisations ARPCE en vigueur, cartographier séparément les flux de données selon la Loi 18-07, et traiter le cycle de renouvellement de 7 ans comme une étape de conformité récurrente plutôt qu'une simple formalité d'enregistrement.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l'AlgérieÉlevé▾

La résidence cloud est le principal déterminant des charges de travail modernisables dans le pays par opposition à celles poussées vers une infrastructure offshore avec un risque juridique.

Calendrier d'action6-12 mois▾

Les premières cohortes d'autorisation approchent le renouvellement à 7 ans ; les DSI doivent auditer le statut de leurs fournisseurs cette année, avant le cycle de revue contractuelle.

Parties prenantes clésDSI, RSSI, délégués à la protection des données, équipes conformité bancaire et télécoms

Type de décisionStratégique▾

Les décisions de résidence structurent l'architecture cloud pluriannuelle, les contrats fournisseurs et l'arbitrage build-vs-buy — ce n'est pas un choix d'achat ponctuel.

Niveau de prioritéÉlevé▾

Une autorisation ARPCE expirée ou un flux transfrontalier non documenté peut geler une charge core banking ou santé sans solution de contournement à court terme.

En bref : Les DSI algériens devraient cartographier ce trimestre chaque charge cloud par rapport à la liste des fournisseurs ARPCE autorisés, cartographier séparément les flux de données régulées selon la Loi 18-07, et budgéter un cycle d'audit fournisseur avant toute échéance de renouvellement à 7 ans. Le parcours de conformité est bien documenté — le risque consiste à le traiter comme un enregistrement unique plutôt que comme une posture continue.

Les trois ancrages juridiques que tout DSI doit déjà connaître

Toute conversation sur l'exécution de charges de travail régulées dans des environnements cloud publics algériens finit toujours par renvoyer à trois documents. Le premier est la Loi n° 22-39 du 10 janvier 2022, qui a instauré le régime réglementaire du cloud computing et du stockage de données, et a placé l'autorisation sous l'autorité de l'Autorité de Régulation de la Poste et des Communications Électroniques (ARPCE). Le second est la Décision ARPCE n° 48/SP/PC/ARPT/17 du 29 novembre 2017, qui fixe les spécifications techniques des services d'hébergement et de stockage — en particulier l'engagement d'établir l'infrastructure sur le territoire national, d'héberger et stocker les données client localement, et de garantir une solution de sauvegarde sur le même territoire. Le troisième est l'autorisation d'opérateur proprement dite, accordée par l'ARPCE pour une durée de 7 ans renouvelable et non transférable, tout changement significatif d'actionnariat exigeant l'approbation du régulateur.

Ces trois ancrages transforment le discours abstrait du « cloud souverain » en obligations de conformité qu'un DSI doit intégrer dès la conception. Une charge de travail s'exécutant dans une région cloud hors du territoire algérien n'est pas intrinsèquement illégale, mais une charge classée comme sensible — journaux de transactions bancaires, archives ministérielles, dossiers de santé, métadonnées télécoms — est contrainte à une infrastructure physiquement implantée dans le pays et exploitée par un fournisseur autorisé par l'ARPCE.

Le paysage 2026 des fournisseurs autorisés

Début 2026, l'ARPCE a octroyé des autorisations d'hébergement cloud à plusieurs opérateurs nationaux. Selon la liste publique du régulateur et le rapport indépendant State of Software Engineering in Algeria, ISAAL, AYRADE, eBS et ADEX Cloud figurent parmi les principaux fournisseurs autorisés à offrir des services d'hébergement web et de cloud sur le marché algérien. Chacun s'appuie sur une infrastructure de centres de données située sur le territoire national et a validé le dossier exigé par l'ARPCE — y compris la preuve du règlement des frais de gestion de dossier de 28 000 DZD hors taxes et la démonstration de la conformité aux spécifications techniques de la Décision 48.

Le Ministère de la Poste et des Télécommunications a signalé, à travers des plans stratégiques successifs, que la liste des fournisseurs autorisés est appelée à s'étoffer plutôt qu'à rester figée. Des opérateurs publics comme la plateforme cloud souveraine de Djezzy, la branche infrastructure numérique d'Algérie Telecom, et des centres de données affiliés à l'État à Alger et Oran sont les candidats les plus visibles à la prochaine vague d'autorisations. Pour les DSI d'entreprise, l'effet pratique est que le menu d'options conformes s'élargit — pas l'inverse.

Comment cela s'articule avec la Loi 18-07 sur la protection des données

La résidence des données recoupe la protection des données sans s'y substituer. La Loi n° 18-07 du 10 juin 2018 sur la protection des données à caractère personnel — et l'Autorité Nationale de Protection des Données à caractère Personnel (ANPDP) qu'elle a instituée — encadre la collecte, le traitement et le transfert des données, y compris les transferts transfrontaliers. Le cadre ARPCE encadre l'endroit où l'infrastructure réside ; le cadre ANPDP encadre ce qu'il est permis d'en faire.

Pour une banque migrant son core banking vers un cloud privé, l'autorisation ARPCE de l'hébergeur et l'enregistrement ANPDP du responsable de traitement sont deux parcours de conformité parallèles, pas un formulaire unique. L'erreur d'intégration la plus fréquente chez les acteurs du mid-market consiste à considérer l'un comme substitut de l'autre. Un fournisseur cloud peut être pleinement autorisé par l'ARPCE tandis que le client reste non conforme en protection des données, et inversement.

La checklist de conformité 2026

Pour un DSI préparant une migration ou un RSSI auditant une posture cloud existante, le travail immédiat est documentaire plutôt que technique.

D'abord, vérifier que chaque fournisseur traitant des données régulées figure sur la liste ARPCE en vigueur des hébergeurs cloud autorisés et que l'autorisation n'est pas expirée (le terme de 7 ans renouvelable signifie que les premières cohortes approchent leur premier renouvellement). Ensuite, demander et conserver l'attestation de conformité Décision 48 du fournisseur — le document nommant le centre de données algérien, la localisation de la sauvegarde et la procédure de réponse aux incidents. Puis cartographier chaque catégorie de données traitée par la charge de travail selon la Loi 18-07 et, le cas échéant, déposer l'enregistrement du responsable de traitement auprès de l'ANPDP. Enfin, pour tout composant international (outil SaaS avec serveurs à l'étranger, passerelle de paiement adjacente à SWIFT), documenter la base légale du transfert transfrontalier ou isoler le flux.

C'est le travail ingrat qui distingue un audit propre d'un incident de réputation. Le régulateur passe d'une posture d'« enregistrement unique » à une posture de « conformité continue documentée », et les entreprises déjà outillées pour produire la paperasse sur demande sont celles qui éviteront les ruptures lorsque les lignes directrices se resserreront.

Pourquoi le cadre est un vent porteur, pas un frein

Pour les hébergeurs algériens, la règle de résidence constitue l'avantage compétitif le plus net face à une entrée hyperscaler. AWS, Azure et Google Cloud ne disposent pas de régions dans le pays, et un hébergeur local autorisé par l'ARPCE peut légalement servir des charges qu'un hyperscaler étranger ne peut — pour l'instant. Ce fossé réglementaire adosse la thèse d'investissement du capex national : les nouveaux centres de données en construction à Alger, Oran et Hassi Messaoud sont finançables précisément parce que le périmètre de conformité est bien défini.

Pour les DSI, le cadre retire une part significative d'ambiguïté juridique. Il existe un corpus de règles publié, une liste courte de fournisseurs autorisés, une durée de licence claire, et un régulateur dont les décisions sont publiques. C'est une position de départ nettement meilleure qu'il y a cinq ans, lorsque la plupart des contrats cloud en Algérie étaient rédigés sur des bases juridiques improvisées.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

La règle de résidence cloud en Algérie interdit-elle d'utiliser AWS, Azure ou Google Cloud ?

Non, la règle n'impose pas une interdiction généralisée — elle restreint l'endroit où certaines catégories de données sensibles ou régulées peuvent être stockées et traitées. Une charge de travail traitant des données non sensibles peut légalement utiliser des hyperscalers offshore. Mais les données régulées (bancaires, de santé, métadonnées télécoms, archives ministérielles) doivent être hébergées sur une infrastructure située en Algérie et exploitée par un fournisseur autorisé par l'ARPCE au titre de la Loi 22-39 et de la Décision 48.

Quels fournisseurs sont autorisés par l'ARPCE en 2026 ?

Début 2026, ISAAL, AYRADE, eBS et ADEX Cloud figurent parmi les principaux fournisseurs d'hébergement cloud autorisés par l'ARPCE et actifs sur le territoire algérien. La liste officielle à jour est publiée sur arpce.dz, et le Ministère de la Poste et des Télécommunications a indiqué que la liste s'étoffera à mesure que d'autres opérateurs, dont la plateforme cloud souveraine de Djezzy et la branche infrastructure numérique d'Algérie Telecom, obtiendront leur autorisation.

Comment l'autorisation ARPCE diffère-t-elle de l'enregistrement ANPDP ?

L'autorisation ARPCE encadre l'infrastructure — où elle se situe, comment elle est construite, qui l'exploite — au titre de la Loi 22-39 et de la Décision 48. L'enregistrement ANPDP encadre le traitement des données à caractère personnel — ce qui peut être collecté, partagé ou transféré — au titre de la Loi 18-07. Un fournisseur cloud peut être autorisé par l'ARPCE tandis que son client reste non conforme en protection des données, et inversement. Les DSI doivent les considérer comme deux parcours de conformité parallèles.