IA & AutomatisationCybersécuritéCloudCompétencesPolitiqueStartupsÉconomie Numérique

Loi algérienne sur la protection des données (18-07) : ce que chaque entreprise doit savoir en 2026

février 21, 2026

Legal document and gavel representing Algeria data protection law compliance

L’Algérie a promulgué la Loi n° 18-07 relative à la protection des données à caractère personnel en juin 2018 — largement inspirée du RGPD européen — mais pendant la majeure partie de son existence, elle est restée davantage un texte théorique qu’un instrument opérationnel. L’application était minimale, l’autorité de contrôle disposait de ressources limitées, et la plupart des entreprises traitaient cette loi comme une ambition de conformité plutôt qu’une réalité opérationnelle.

Tout a changé en 2025. Le 24 juillet, l’Algérie a promulgué la Loi n° 25-11, modifiant et complétant la Loi 18-07 avec l’obligation de désigner un DPO (Délégué à la protection des données), des obligations de notification de violation, des Analyses d’Impact sur la Protection des Données (AIPD), et des pouvoirs d’application renforcés pour l’ANPDP. Combiné au Décret présidentiel n° 25-320 établissant un cadre national de gouvernance des données, ces changements transforment le régime algérien de protection des données d’un dispositif théorique en un système opérationnel. Pour toute organisation traitant des données de citoyens algériens, 2026 est l’année où la conformité devient incontournable.

Ce que dit réellement la Loi 18-07 : les dispositions fondamentales

Champ d’application

La Loi 18-07 s’applique à tout traitement de données à caractère personnel :

  • Réalisé sur le territoire algérien
  • Effectué par un organisme établi en Algérie
  • Portant sur des données personnelles de résidents algériens, quel que soit le lieu du traitement

Cette portée extraterritoriale signifie que les entreprises internationales collectant des données d’utilisateurs algériens sont soumises à la loi, même sans présence physique en Algérie.

Bases légales du traitement

La loi exige le consentement exprès et éclairé comme base légale principale du traitement des données. Le consentement doit être donné librement et peut être retiré à tout moment. Des exceptions autorisent le traitement sans consentement lorsque :

  • Il est requis par une obligation légale applicable au responsable du traitement
  • Il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  • Il est requis pour l’exécution d’un contrat avec la personne concernée
  • Il est nécessaire à l’exécution d’une mission d’intérêt public
  • Il est justifié par les intérêts légitimes du responsable du traitement (sous réserve de mise en balance)

Pour la plupart des usages commerciaux — marketing, analyses, profilage des utilisateurs — le consentement explicite reste la base la plus appropriée et la plus sûre juridiquement.

Principes fondamentaux de protection des données

Comme le RGPD, la Loi 18-07 repose sur des principes fondamentaux régissant tout traitement de données personnelles :

  1. Licéité : le traitement doit reposer sur une base légale
  2. Limitation des finalités : les données collectées à une fin ne peuvent être utilisées à des fins incompatibles
  3. Minimisation des données : ne collecter que le strict nécessaire
  4. Exactitude : les données personnelles doivent être maintenues exactes et à jour
  5. Limitation de conservation : les données ne doivent pas être conservées au-delà du nécessaire
  6. Sécurité : des mesures techniques et organisationnelles appropriées doivent protéger l’intégrité et la confidentialité des données

L’amendement de 2025 : Loi 25-11 — ce qui a changé

La Loi n° 25-11, promulguée le 24 juillet 2025, a introduit plusieurs changements majeurs :

Désignation obligatoire d’un DPO

Les organisations effectuant des traitements de données à grande échelle ou portant sur des données sensibles doivent désormais désigner un DPO (Délégué à la protection des données). Les coordonnées du DPO doivent être communiquées à l’ANPDP. Cette exigence, auparavant simplement recommandée, est désormais une obligation légale en vertu de la loi modifiée.

Notification de violation sous 5 jours

La loi modifiée introduit des obligations de notification de violation :

  • 5 jours pour notifier l’ANPDP à compter de la prise de connaissance d’une violation de données personnelles
  • Les personnes concernées doivent également être informées en cas de violation

Les organisations doivent tenir un registre interne des violations documentant tous les incidents afin de démontrer leur conformité.

Analyses d’Impact sur la Protection des Données (AIPD)

Les organisations doivent réaliser des AIPD pour les traitements présentant un risque élevé — une nouvelle exigence qui reflète l’article 35 du RGPD. Cela inclut les traitements impliquant une surveillance systématique à grande échelle, des catégories de données sensibles, ou de nouvelles technologies ayant des implications significatives en matière de vie privée.

Registre des activités de traitement

Les responsables du traitement sont désormais tenus de maintenir un registre détaillé des activités de traitement, documentant quelles données sont collectées, pourquoi, pendant combien de temps elles sont conservées, et à qui elles sont transmises.

Droits des personnes concernées

Les individus ont le droit :

  • D’information sur la manière dont leurs données sont traitées
  • D’accès à l’ensemble des données personnelles détenues à leur sujet
  • De rectification des données inexactes
  • D’opposition au traitement, notamment à des fins de prospection commerciale
  • De retrait du consentement à tout moment
  • De protection contre la prise de décision automatisée

Note : contrairement au RGPD, la Loi 18-07 ne prévoit pas explicitement de « droit à l’effacement » ni de « droit à la portabilité des données ». Les organisations habituées à la conformité RGPD doivent être conscientes de cette distinction.

Transferts transfrontaliers de données

Les données personnelles de résidents algériens ne peuvent être transférées hors d’Algérie qu’à destination de pays offrant une protection adéquate, telle qu’évaluée par l’ANPDP. Pour les transferts sans décision d’adéquation :

  • Une autorisation explicite de l’ANPDP est requise
  • Le consentement de la personne concernée pour le transfert spécifique
  • Des exceptions existent pour les obligations légales, l’exécution de contrats, les procédures judiciaires, les intérêts vitaux et l’intérêt public

Important : les transferts sont interdits s’ils portent atteinte à la sécurité nationale ou aux intérêts vitaux de l’État. L’ANPDP n’a pas encore publié de liste de pays adéquats, ce qui signifie que la plupart des transferts internationaux nécessitent actuellement une autorisation au cas par cas.

Advertisement

L’ANPDP : l’autorité algérienne de protection des données

L’Autorité Nationale de Protection des Données à Caractère Personnel (ANPDP) est l’autorité de contrôle indépendante établie par la Loi 18-07. Suite à la Loi 25-11, les pouvoirs de l’ANPDP comprennent :

  • Pouvoir d’investigation : réalisation d’audits et d’enquêtes
  • Injonctions : suspension des traitements de données illicites
  • Amendes administratives : de 20 000 à 1 000 000 DZD (environ 150 à 7 500 USD) pour les infractions
  • Sanctions pénales : le non-respect peut entraîner une peine d’emprisonnement de 2 mois à 5 ans pour les violations graves, y compris la divulgation non autorisée de données ou l’utilisation abusive de données sensibles
  • Demandes de documentation : exigence de preuves de consentement et de registres de traitement

L’échelle des sanctions est modeste comparée au modèle du RGPD basé sur un pourcentage du chiffre d’affaires, mais la dimension pénale — incluant une peine d’emprisonnement potentielle — rend la loi algérienne sur la protection des données singulièrement lourde de conséquences pour les personnes responsables de manquements à la conformité. Ce n’est pas un régime où les amendes constituent simplement un coût d’exploitation.

Réalité actuelle de l’application : début 2026, aucune action d’application par l’ANPDP n’a été publiquement signalée. Toutefois, avec l’entrée en vigueur de la Loi 25-11 et les pouvoirs élargis de l’ANPDP, ce vide en matière d’application a peu de chances de perdurer.

Feuille de route pratique de mise en conformité pour 2026

Pour les organisations n’ayant pas encore entrepris un programme de conformité structuré :

Phase 1 : Audit (Mois 1–2)

  • Inventaire des données : cartographier chaque catégorie de données personnelles que vous collectez, traitez ou stockez concernant des résidents algériens
  • Registre des activités de traitement : documenter la finalité, la base légale, la durée de conservation et les destinataires pour chaque activité de traitement
  • Évaluation des prestataires : identifier tous les sous-traitants recevant des données personnelles algériennes et examiner leurs contrats de traitement des données

Phase 2 : Analyse des écarts (Mois 2–3)

  • Comparer les pratiques actuelles aux exigences de la Loi 18-07 + Loi 25-11
  • Identifier les écarts les plus critiques : mécanismes de consentement manquants, transferts transfrontaliers non autorisés, mesures de sécurité insuffisantes, absence de procédures de réponse aux violations
  • Prioriser les actions correctives par niveau de risque

Phase 3 : Mise en conformité (Mois 3–6)

  • Désigner un DPO si requis ; enregistrer ses coordonnées auprès de l’ANPDP
  • Mettre à jour les avis de confidentialité et les mécanismes de consentement sur les propriétés numériques
  • Mettre en place des mesures de sécurité techniques : chiffrement au repos et en transit, contrôles d’accès, journalisation des audits
  • Établir des procédures de détection des violations et de notification sous cinq jours
  • Créer un processus de traitement des demandes d’exercice des droits des personnes concernées
  • Réaliser des AIPD pour les traitements à haut risque

Phase 4 : Conformité continue

  • Analyses d’impact annuelles pour les nouvelles activités de traitement
  • Formation régulière du personnel sur les responsabilités en matière de protection des données
  • Revue trimestrielle du registre des violations
  • Rapport annuel du DPO à la direction générale

Double conformité : Loi 18-07 et RGPD

Pour les multinationales opérant à la fois en Algérie et dans l’Union européenne, le cadre de la Loi 18-07, inspiré du RGPD, offre une structure familière. Les deux cadres partagent des bases légales de traitement similaires, des droits comparables pour les personnes concernées et des exigences analogues en matière de DPO.

Cependant, des différences clés empêchent de simplement transposer un programme de conformité RGPD :

  • Notification de violation : 5 jours auprès de l’ANPDP (contre 72 heures sous le RGPD)
  • Pas de droit à l’effacement ni à la portabilité explicitement prévu par la loi algérienne
  • Transferts transfrontaliers : aucune liste d’adéquation publiée ; autorisation de l’ANPDP requise au cas par cas
  • Sanctions : sanctions pénales incluant l’emprisonnement (le RGPD est purement administratif)
  • Accent sur le consentement : l’Algérie accorde une importance accrue au consentement exprès, alors que le RGPD offre une base plus large via l’intérêt légitime

Un programme unique de conformité en matière de vie privée, avec des adaptations spécifiques à l’Algérie — notamment concernant les délais de notification de violation, les mécanismes de consentement et l’enregistrement auprès de l’ANPDP — peut couvrir les deux cadres. Toutefois, les organisations ne doivent pas présumer que la conformité au RGPD satisfait automatiquement les exigences algériennes.

Advertisement

Radar de Décision

Dimension Évaluation
Pertinence pour l’Algérie Élevée — La Loi 25-11 crée de nouvelles obligations contraignantes pour toute organisation traitant des données personnelles algériennes
Calendrier d’action Immédiat — La Loi 25-11 est en vigueur depuis juillet 2025 ; la désignation du DPO et les procédures de violation doivent être en place dès maintenant
Parties prenantes clés DPO, responsables juridiques/conformité, RSSI, directeurs informatiques, équipes marketing gérant les données clients
Type de décision Tactique — des étapes de conformité spécifiques sont requises, pas seulement une veille stratégique
Niveau de priorité Élevé

En bref : Le régime algérien de protection des données dispose désormais de moyens de coercition qu’il n’avait pas auparavant — y compris des sanctions pénales pour non-conformité. Les organisations traitant des données personnelles algériennes doivent immédiatement désigner un DPO, mettre en place une procédure de notification de violation sous 5 jours, et commencer à réaliser des AIPD pour les traitements à haut risque. L’absence d’actions d’application de l’ANPDP à ce jour ne doit pas être interprétée comme un signal que la conformité est facultative.

Sources

Laisser un commentaire

Advertisement

Le regard de l'Algérie sur le monde de la technologie
Restez inform\xc3\xa9
ALGmag

Décoder les signaux qui façonnent l'avenir technologique de l'Algérie. Nous filtrons l'innovation mondiale à travers la réalité locale — pour une intelligence qui éclaire les décisions.

info

TÉL +420 774 164 823

Školská 3, 110 00
Prague 1, République tchèque

© 2026 ALGmag. Tous droits réservés.

POLITIQUE DE CONFIDENTIALITÉ CONDITIONS D'UTILISATION