La Loi 25-11 du 24 juillet 2025 impose à toute entreprise algérienne traitant des données personnelles cinq obligations : (1) désigner un Data Protection Officer (DPO) interne ou externe au titre de l'article 38 ; (2) tenir un registre des traitements ; (3) réaliser une étude d'impact (DPIA) pour les traitements sensibles ; (4) notifier l'ANPDP sous 72 heures en cas de violation ; (5) encadrer contractuellement les transferts internationaux. Source : Loi n°25-11 du 24 juillet 2025, JO n°47 du 27 juillet 2025, modifiant la Loi 18-07 du 10 juin 2018.

La Loi n° 25-11 du 24 juillet 2025, publiée au Journal Officiel de la République Algérienne Démocratique et Populaire n° 47 du 27 juillet 2025, modifie et complète la Loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. Elle renforce le rôle de l'Autorité Nationale de Protection des Données à caractère Personnel (ANPDP), précise les obligations des responsables de traitement et durcit le régime des sanctions en cas de manquement.

Ce guide pillar s'adresse aux directions des ressources humaines, aux directions des systèmes d'information, aux responsables de la sécurité des systèmes d'information, aux délégués à la protection des données, aux directions juridiques et aux dirigeants de PME, ETI et grands groupes établis en Algérie. Il propose un parcours en huit sections, suivi d'une foire aux questions et d'un plan opérationnel de mise en conformité sur quatre-vingt-dix jours.

Toutes les références citées renvoient au texte officiel de la Loi 18-07, à la Loi 25-11 et aux dispositions associées. Aucune statistique non sourcée n'est avancée. Lorsqu'un point dépend d'un décret exécutif d'application qui complète la loi, le texte le mentionne explicitement.

La conformité aux textes algériens sur les données personnelles n'est pas qu'un sujet juridique. Elle engage l'organisation des systèmes d'information, la fonction ressources humaines, la relation client, les achats, la sécurité et la communication. Sa mise en place réussie suppose un pilotage transverse, ancré dans une feuille de route partagée et soutenue par la direction générale.

La protection des données personnelles en Algérie s'appuie sur un dispositif articulé autour de plusieurs textes complémentaires. Le socle est posé par la Loi 18-07 du 10 juin 2018 ; il est renforcé par la Loi 25-11 du 24 juillet 2025 et croisé, pour les questions de sécurité et de cybercriminalité, avec la Loi 09-04 du 5 août 2009.

Loi 18-07 du 10 juin 2018 : socle de la protection des données

La Loi 18-07 a institué en Algérie un cadre général pour le traitement des données à caractère personnel. Elle pose les principes fondamentaux qui guident désormais toute opération de collecte ou d'usage de telles données : licéité, loyauté, finalité déterminée, proportionnalité, exactitude, durée de conservation limitée et sécurité.

La loi définit la donnée à caractère personnel comme toute information, sous quelque forme que ce soit, concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, génétique, biométrique, psychique, économique, culturelle ou sociale. Le traitement, lui, recouvre toute opération ou ensemble d'opérations, automatisées ou non, portant sur des données : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication, diffusion, rapprochement, interconnexion, verrouillage, effacement ou destruction.

La Loi 18-07 a également institué l'Autorité Nationale de Protection des Données à caractère Personnel (ANPDP), autorité administrative indépendante chargée de veiller au respect du dispositif. Elle a posé l'obligation pour les responsables de traitement d'effectuer, selon les cas, une déclaration préalable ou une demande d'autorisation auprès de cette autorité.

Loi 25-11 du 24 juillet 2025 : modifications et renforcements

La Loi 25-11 ne remplace pas la Loi 18-07 ; elle la modifie et la complète. Elle clarifie certaines définitions, ajuste les obligations des responsables de traitement et donne à l'ANPDP des moyens d'action plus étendus. Elle s'inscrit dans une démarche de modernisation de la réglementation algérienne sur les données, en cohérence avec l'évolution des usages numériques.

Parmi les apports les plus structurants de la Loi 25-11 figurent l'introduction d'une obligation de désigner, dans certaines conditions, un délégué à la protection des données ou DPO, le renforcement de l'obligation de notification des violations de données à caractère personnel à l'ANPDP, et l'extension des prérogatives de contrôle et de sanction de l'autorité. La synthèse complète des changements introduits par la Loi 25-11 est traitée dans une analyse dédiée.

La Loi 25-11 articule également la protection des données avec d'autres pans du droit algérien, en particulier la Loi 09-04 du 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l'information et de la communication. Cette dernière encadre notamment les obligations des fournisseurs de services en matière de conservation et de remise des données dans le cadre des enquêtes judiciaires.

Champ d'application : qui est concerné ?

La Loi 18-07, telle que modifiée par la Loi 25-11, s'applique à tout traitement de données à caractère personnel. Elle ne distingue pas, dans son principe, selon la nature de l'organisation qui effectue le traitement : entreprises privées, administrations, associations ou personnes physiques exerçant une activité professionnelle peuvent y être assujetties dès lors qu'elles traitent des données. Pour un panorama d'ensemble destiné aux dirigeants d'entreprise, le guide approfondi de la Loi 18-07 détaille la mise en œuvre opérationnelle.

Entreprises et organisations assujetties

Sont concernées toutes les entreprises établies en Algérie qui collectent ou utilisent des données relatives à des personnes physiques. Cela vise notamment, sans que cette liste soit limitative :

  • les employeurs, pour la gestion des dossiers du personnel, de la paie, des candidatures, de la formation professionnelle et de la santé au travail ;
  • les commerçants et prestataires, pour la gestion de la relation client, de la facturation, des programmes de fidélité et du marketing ;
  • les établissements financiers, les compagnies d'assurance et les opérateurs de paiement, pour la connaissance du client et la lutte contre le blanchiment ;
  • les opérateurs de télécommunications et fournisseurs de services en ligne, pour la gestion des abonnements et des journaux de connexion ;
  • les établissements de santé, pour les dossiers médicaux et les données de soins ;
  • les établissements d'enseignement et de formation, pour les inscriptions, l'évaluation et le suivi des apprenants ;
  • les associations et organisations professionnelles, pour la gestion des adhérents.

La taille de l'entreprise n'exonère pas, en tant que telle, de l'application de la loi. Une PME de quelques salariés qui gère un fichier clients et un fichier du personnel est responsable de traitement, au même titre qu'un grand groupe. Les modalités pratiques de mise en conformité peuvent en revanche être proportionnées à la nature et au volume des traitements.

La loi s'applique également aux sous-traitants, c'est-à-dire aux prestataires qui traitent des données pour le compte d'un responsable de traitement (hébergeur, éditeur de logiciel SaaS, prestataire paie, agence marketing, centre d'appels, cabinet comptable). Ces sous-traitants sont tenus à des obligations propres et le contrat qui les lie au responsable de traitement doit prévoir des clauses spécifiques.

Données personnelles et traitements visés

Toutes les données qui permettent, seules ou par recoupement, d'identifier une personne physique sont des données à caractère personnel : nom, prénom, adresse postale, adresse électronique, numéro de téléphone, numéro de pièce d'identité, numéro de sécurité sociale, plaque d'immatriculation, identifiant en ligne, adresse IP, image, voix, données de localisation.

La loi distingue les données ordinaires des données dites sensibles, qui font l'objet d'un régime de protection renforcé. Sont notamment considérées comme sensibles les données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, ainsi que les données concernant la santé ou la vie sexuelle. Le traitement de telles données est en principe soumis à autorisation préalable de l'ANPDP, sauf exceptions prévues par la loi.

Les traitements visés couvrent toute opération sur ces données : collecte par formulaire, par cookie ou par caméra ; stockage dans un fichier informatique ou un dossier papier structuré ; consultation par les collaborateurs ; transmission à un tiers ; effacement à l'issue de la durée de conservation. La loi s'applique aussi bien aux traitements automatisés qu'aux traitements manuels organisés en fichiers.

Les obligations principales pour l'entreprise

La Loi 18-07 modifiée par la Loi 25-11 fait peser sur le responsable de traitement un ensemble d'obligations cumulatives. Quatre d'entre elles structurent l'essentiel de la mise en conformité opérationnelle : la déclaration ou l'autorisation préalable, la désignation d'un DPO lorsqu'elle est requise, la tenue d'un registre des traitements et l'information des personnes concernées.

Déclaration préalable à l'ANPDP (article 12 de la Loi 18-07)

Selon la Loi 18-07, tout traitement de données à caractère personnel doit, sauf cas particuliers, faire l'objet d'une déclaration préalable auprès de l'ANPDP. Pour les traitements présentant des risques particuliers, notamment ceux portant sur des données sensibles ou impliquant des transferts à l'étranger, une autorisation préalable est requise.

La déclaration ou la demande d'autorisation comporte un ensemble d'informations permettant à l'ANPDP d'apprécier la régularité du traitement : identité du responsable, finalité, catégories de données, catégories de personnes concernées, destinataires, durée de conservation, mesures de sécurité, transferts éventuels. La modification substantielle d'un traitement déclaré donne lieu à une déclaration complémentaire.

La régularité de cette démarche conditionne la légalité du traitement. Un traitement non déclaré, lorsque la déclaration est exigée, expose son responsable aux sanctions prévues par la loi. La Loi 18-07 prévoit que le défaut de déclaration ou d'autorisation préalable est susceptible d'entraîner des conséquences administratives et pénales.

Désignation du DPO (article 4 de la Loi 25-11)

L'article 4 de la Loi 25-11 introduit l'obligation, dans certaines situations, de désigner un délégué à la protection des données. Le DPO est chargé de veiller, au sein de l'organisation, au respect du dispositif applicable aux données personnelles. Il joue un rôle de conseil interne, de point de contact avec l'ANPDP et de relais auprès des personnes concernées.

La désignation s'apprécie en fonction de la nature des traitements menés par l'entreprise, de leur volume, de leur portée et de la sensibilité des données concernées. Les détails des situations dans lesquelles la désignation est obligatoire sont précisés dans l'analyse dédiée à l'obligation de DPO sous la Loi 25-11.

Le DPO peut être un collaborateur interne ou un prestataire externe, sous réserve qu'il dispose des qualifications et de l'indépendance nécessaires à l'exercice de ses missions. Le responsable de traitement met à sa disposition les moyens utiles pour accomplir ses tâches et veille à ce qu'il puisse exercer ses missions sans conflit d'intérêts.

Au-delà de l'obligation formelle, la fonction de DPO structure de façon durable la conformité de l'organisation : sensibilisation interne, conseil sur les nouveaux projets, suivi des incidents, dialogue avec l'autorité.

Les missions du DPO se déploient typiquement sur quatre axes : information et conseil auprès du responsable de traitement et des collaborateurs ; contrôle du respect des règles applicables et de la politique interne de protection des données ; coopération avec l'ANPDP et fonction de point de contact avec celle-ci ; prise en compte du risque associé aux opérations de traitement, en tenant compte de leur nature, de leur portée et de leur finalité. Ces axes structurent utilement la lettre de mission et l'évaluation annuelle de la fonction.

Tenue du registre des traitements

Le registre des traitements est l'outil central de pilotage de la conformité. Il recense, pour chaque traitement, les informations qui permettent à l'organisation et à l'ANPDP de comprendre comment les données sont collectées, utilisées, conservées et protégées. Un modèle pratique de registre des traitements détaille le contenu attendu et propose une trame opérationnelle.

Pour chaque traitement, le registre indique typiquement :

  • l'intitulé et la finalité du traitement ;
  • l'identité et les coordonnées du responsable de traitement, du DPO le cas échéant et des éventuels co-responsables ou sous-traitants ;
  • les catégories de personnes concernées (salariés, candidats, clients, prospects, fournisseurs, usagers) ;
  • les catégories de données traitées, avec la mention spécifique des données sensibles ;
  • les destinataires internes et externes, y compris les sous-traitants et les autorités ;
  • les transferts vers l'étranger, lorsqu'ils existent, et leur base légale ;
  • les durées de conservation ;
  • une description générale des mesures de sécurité techniques et organisationnelles.

Le registre est tenu à jour ; il doit refléter la réalité des traitements en cours. Il est tenu à la disposition de l'ANPDP, qui peut en demander communication dans le cadre de ses missions de contrôle.

Information et consentement de la personne concernée

L'information préalable de la personne concernée est l'une des pierres angulaires du dispositif. Lorsqu'une entreprise collecte directement des données auprès d'une personne, elle doit lui fournir, de manière claire et accessible, un ensemble d'éléments : identité du responsable de traitement, finalité, caractère obligatoire ou facultatif des réponses, conséquences d'un défaut de réponse, destinataires, durée de conservation, droits dont elle dispose et modalités d'exercice de ces droits.

Le consentement, lorsqu'il constitue la base du traitement, doit être libre, spécifique, éclairé et univoque. Il ne peut résulter du silence ou d'une inaction. La personne concernée doit pouvoir le retirer à tout moment, par un moyen aussi simple que celui par lequel elle l'a donné. La preuve du consentement incombe au responsable de traitement.

L'information écrite peut prendre la forme d'une mention sur le formulaire de collecte, d'une politique de confidentialité accessible depuis un site Internet, d'une notice remise au salarié ou au client, ou d'une combinaison de ces supports. La cohérence d'ensemble entre les mentions affichées, les pratiques réelles et les déclarations à l'ANPDP est un point d'attention récurrent en cas de contrôle.

Droits des personnes concernées

La Loi 18-07 ouvre aux personnes physiques dont les données sont traitées un faisceau de droits qu'elles peuvent exercer auprès du responsable de traitement. Ces droits sont indissociables des obligations de l'entreprise : ils trouvent leur traduction dans des procédures internes, des canaux d'exercice et des délais de réponse.

Droit d'accès, de rectification, d'effacement

Le droit d'accès permet à une personne d'obtenir confirmation que des données la concernant sont traitées, ainsi que la communication, sous une forme intelligible, de ces données et des informations relatives au traitement (finalité, catégories, destinataires, durée de conservation). Ce droit est en principe gratuit, sous réserve des cas d'abus prévus par la loi.

Le droit de rectification permet d'obtenir la mise à jour, la correction ou le complément des données inexactes, incomplètes ou périmées. Le responsable de traitement répercute, le cas échéant, la rectification auprès des destinataires des données.

Le droit d'effacement permet d'obtenir la suppression des données, notamment lorsque celles-ci ne sont plus nécessaires au regard de la finalité, lorsque la personne retire son consentement et qu'aucune autre base légale ne justifie le traitement, ou lorsque le traitement n'est pas conforme à la loi. Ce droit s'exerce sous réserve des obligations légales de conservation auxquelles l'entreprise peut être tenue par d'autres textes (droit du travail, droit fiscal, droit comptable, droit pénal).

Droit d'opposition et limitation

Le droit d'opposition permet à la personne concernée de s'opposer, pour des motifs légitimes, au traitement de ses données. Lorsque le traitement vise des fins de prospection commerciale, l'opposition s'exerce sans avoir à motiver la demande.

La limitation du traitement consiste, dans certaines situations transitoires, à figer les données : elles continuent d'exister mais ne peuvent plus être utilisées. La limitation peut, par exemple, accompagner une contestation de l'exactitude des données pendant la période de vérification.

Ces droits ne sont pas absolus : la loi prévoit des aménagements lorsque le traitement répond à une obligation légale, à une mission d'intérêt public ou à des prérogatives liées à la sécurité ou à la défense.

Modalités d'exercice et délais de réponse

L'entreprise doit faciliter l'exercice des droits. En pratique, elle met en place un canal identifiable : adresse électronique dédiée, formulaire en ligne, courrier postal à une adresse mentionnée dans la politique de confidentialité. Le DPO, lorsqu'il est désigné, est généralement le point de contact privilégié.

L'identité du demandeur doit être vérifiée pour éviter qu'un tiers obtienne, par usurpation, l'accès à des données qui ne le concernent pas. Cette vérification doit toutefois rester proportionnée et ne pas faire obstacle à l'exercice du droit. La réponse est apportée dans un délai raisonnable, compatible avec les exigences de la loi et avec les usages.

Un suivi documenté des demandes (réception, instruction, réponse) est utile à la fois pour démontrer le respect des droits en cas de contrôle de l'ANPDP et pour identifier d'éventuels chantiers d'amélioration de la qualité des données.

Transferts internationaux de données

Les transferts de données à caractère personnel hors du territoire algérien font l'objet d'un encadrement spécifique. Cette dimension a pris une importance croissante avec la généralisation des services informatiques en nuage et des plateformes mondiales.

Conditions générales de transfert

La Loi 18-07 pose le principe selon lequel un transfert de données à caractère personnel vers un État tiers ne peut intervenir que si cet État assure un niveau de protection suffisant, ou si des garanties appropriées sont mises en place. L'ANPDP joue un rôle déterminant dans l'appréciation de cette protection et dans l'autorisation des transferts.

Plusieurs cas de figure se présentent dans la pratique :

  • l'utilisation d'un logiciel SaaS dont les serveurs sont situés à l'étranger ;
  • l'externalisation d'une prestation auprès d'un sous-traitant établi hors d'Algérie ;
  • la consolidation de données au sein d'un groupe international, depuis une filiale algérienne ;
  • l'usage d'outils de communication, de visioconférence ou de collaboration hébergés à l'étranger.

Chacun de ces cas suppose une analyse préalable : nature des données concernées, base légale du traitement, garanties contractuelles, mesures de sécurité, formalités à accomplir auprès de l'ANPDP. La cartographie des transferts est l'un des chantiers structurants de la mise en conformité.

Hébergement et souveraineté numérique

La question de l'hébergement des données et de la souveraineté numérique est étroitement liée aux transferts internationaux. Pour certaines catégories de données ou de traitements, l'hébergement local en Algérie peut être préférable, voire requis, notamment lorsque la sensibilité des informations ou les obligations sectorielles l'exigent.

Une démarche de mise en conformité utilement complétée par une cartographie d'hébergement : lister, pour chaque traitement, le lieu effectif de stockage des données, les flux entrants et sortants, les sauvegardes éventuellement répliquées dans un autre pays. Cette cartographie sert ensuite à identifier les points qui appellent des arbitrages : maintien chez le prestataire actuel avec garanties renforcées, relocalisation vers un hébergement local, segmentation des traitements.

Au-delà des seules obligations issues de la Loi 18-07 modifiée, des textes sectoriels peuvent imposer des contraintes d'hébergement supplémentaires (santé, télécommunications, finance). Le pilotage de la conformité gagne à intégrer cette dimension dès l'amont des projets numériques.

Une analyse de transfert documentée, conservée dans le registre des traitements et mise à jour à chaque changement substantiel de prestataire ou d'architecture technique, constitue une bonne pratique. Elle facilite les échanges avec l'ANPDP, accélère l'instruction des éventuelles demandes d'autorisation et sert de référence en cas de contrôle ou d'incident.

Sécurité des traitements et notification de violation

La sécurité des données est l'une des obligations centrales du responsable de traitement. La Loi 25-11 renforce ce volet en clarifiant l'obligation de notification des violations à l'ANPDP.

Mesures techniques et organisationnelles

Le responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour préserver la confidentialité, l'intégrité et la disponibilité des données. Le caractère approprié des mesures s'apprécie au regard de la nature des données, des risques associés au traitement, de l'état de l'art et du coût de mise en œuvre.

Les mesures techniques courantes incluent :

  • le chiffrement des données sensibles, en transit et au repos ;
  • la gestion des identités et des habilitations selon le principe du moindre privilège ;
  • la journalisation des accès et des opérations critiques ;
  • la mise à jour régulière des systèmes et la gestion des vulnérabilités ;
  • la sauvegarde régulière, testée, et la séparation des environnements ;
  • la sécurisation des postes de travail et des terminaux mobiles.

Les mesures organisationnelles couvrent la formalisation des politiques de sécurité, la sensibilisation et la formation des collaborateurs, la gestion des prestataires, la planification de la continuité d'activité et l'élaboration de procédures en cas d'incident. La coordination entre la direction des systèmes d'information, le RSSI et le DPO est un facteur clé d'efficacité.

Notification ANPDP en cas de violation (délai 5 jours)

La Loi 25-11 consacre l'obligation, pour le responsable de traitement, de notifier à l'ANPDP toute violation de données à caractère personnel dans un délai de cinq jours à compter du moment où il en a connaissance, selon les modalités précisées par les textes d'application. La violation s'entend de toute atteinte à la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données.

Pour respecter ce délai, l'entreprise doit disposer d'une procédure interne préétablie. La procédure de notification de violation à l'ANPDP détaille le contenu attendu de la notification et les bonnes pratiques opérationnelles.

La notification comporte au moins :

  • la nature de la violation, en précisant les catégories et le volume approximatif de personnes et de données concernées ;
  • les conséquences probables de la violation pour les personnes concernées ;
  • les mesures prises ou proposées pour remédier à la violation et en atténuer les effets ;
  • les coordonnées du DPO ou d'un point de contact équivalent.

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits des personnes concernées, celles-ci peuvent en outre devoir être informées directement. La traçabilité de la chaîne de détection, d'analyse, de notification et d'information est un élément central de la gestion d'incident.

Pouvoirs de l'ANPDP, contrôles et sanctions

L'ANPDP est le pivot du dispositif. La Loi 25-11 conforte ses prérogatives et précise ses leviers d'action, qu'il s'agisse de prévention, de contrôle ou de sanction.

Prérogatives de contrôle

L'ANPDP dispose d'un éventail de moyens pour exercer ses missions : instruction des déclarations et des demandes d'autorisation, conduite d'enquêtes, contrôles sur pièces et sur place, audition des responsables de traitement, demande de communication de documents. Le panorama des pouvoirs renforcés de l'ANPDP approfondit le sujet et présente les évolutions récentes.

Les contrôles peuvent être déclenchés à la suite d'une plainte, d'une notification de violation, d'un signalement, ou de la propre initiative de l'autorité dans le cadre d'un programme thématique. Lors d'un contrôle, l'entreprise est tenue à une obligation de coopération : mise à disposition des documents, réponse aux questions, accès aux locaux et aux systèmes lorsque cela est utile à l'instruction.

L'ANPDP peut adresser des avertissements, des mises en demeure et des injonctions visant à faire cesser un manquement ou à imposer la mise en œuvre de mesures correctives. Ces décisions sont notifiées au responsable de traitement, qui dispose des voies de recours prévues par la loi.

Sanctions administratives et pénales

Le manquement aux obligations issues de la Loi 18-07 modifiée par la Loi 25-11 expose le responsable de traitement à des sanctions de nature administrative et, le cas échéant, pénale. Le quantum et les modalités sont précisés par le texte officiel et par les décrets d'application. Les sanctions visent en particulier :

  • l'absence ou l'insuffisance de déclaration ou d'autorisation préalable ;
  • le non-respect des obligations de sécurité ;
  • le défaut de notification d'une violation ;
  • le manquement aux droits des personnes concernées ;
  • les transferts internationaux non autorisés ;
  • le défaut de coopération avec l'ANPDP.

S'ajoutent, dans les hypothèses les plus graves, les conséquences potentielles au regard de la Loi 09-04 du 5 août 2009 sur la cybercriminalité, lorsque les faits relèvent d'infractions liées aux technologies de l'information et de la communication. Les volets civil et réputationnel doivent également être pris en compte dans l'évaluation globale du risque.

Au-delà du quantum, l'expérience montre que la qualité de la coopération avec l'autorité, la rapidité de réaction et la documentation des mesures correctives jouent un rôle dans l'appréciation des manquements. Investir dans la conformité en amont est, à ce titre, un levier de réduction de risque autant qu'une obligation légale.

Plan de mise en conformité — checklist 90 jours

La mise en conformité d'une entreprise à la Loi 18-07 modifiée par la Loi 25-11 peut être structurée selon un plan en trois phases de trente jours. Ce séquencement, adaptable à la taille et à la maturité de l'organisation, permet de transformer une obligation diffuse en feuille de route pilotable.

Phase Période Objectifs Livrables principaux
1. Audit Jours 1 à 30 Cartographier les traitements, mesurer l'écart à la cible, prioriser Cartographie des traitements, registre v0, gap analysis, plan d'action
2. Structuration Jours 31 à 60 Mettre en place les rôles, déclarer, encadrer les sous-traitants DPO désigné, déclarations ANPDP, politiques internes, addenda contractuels
3. Opérationnel Jours 61 à 90 Industrialiser les procédures, former, tester Procédures droits/violations, plan de formation, exercice de notification

Jours 1 à 30 — audit et cartographie

La première phase consiste à comprendre l'existant. L'organisation identifie ses traitements, en partant des grandes fonctions : ressources humaines, paie, gestion des candidats, relation client, marketing, facturation, support, vidéosurveillance, sécurité informatique. Pour chaque traitement, elle documente les finalités, les catégories de données, les destinataires, les durées de conservation et les outils utilisés.

Cette phase produit trois livrables :

  • une cartographie d'ensemble des traitements ;
  • une première version du registre des traitements ;
  • une analyse d'écart entre l'existant et les exigences de la loi, assortie d'un plan d'action priorisé.

Jours 31 à 60 — structuration juridique et organisationnelle

La deuxième phase met en place le cadre formel. L'entreprise désigne, lorsque cela est requis, un délégué à la protection des données et précise sa lettre de mission. Elle régularise les déclarations et autorisations auprès de l'ANPDP, en s'appuyant sur la cartographie produite en phase 1. Elle revoit ses politiques internes : politique générale de protection des données, politique de sécurité, charte informatique, politique de gestion des cookies sur les sites Internet.

Cette phase comporte également un volet contractuel. L'entreprise inventorie ses sous-traitants traitant des données pour son compte et met en place les clauses spécifiques requises : description du traitement confié, durée, garanties de sécurité, sort des données en fin de contrat, conditions de sous-traitance ultérieure, coopération en cas de violation.

Jours 61 à 90 — procédures, formation, exercices

La troisième phase ancre la conformité dans les opérations courantes. Trois chantiers structurants :

  • la procédure d'exercice des droits : circuit interne de réception, vérification d'identité, instruction, réponse, traçabilité ;
  • la procédure de gestion des violations de données : détection, qualification, notification à l'ANPDP dans les cinq jours, information éventuelle des personnes concernées, retour d'expérience ;
  • le plan de sensibilisation et de formation des collaborateurs, adapté aux différents publics : collaborateurs concernés par les traitements, équipes informatiques, encadrement, dirigeants.

La phase se conclut par un exercice de simulation : une violation fictive est annoncée, et l'organisation déroule sa procédure de bout en bout. L'exercice permet de mesurer la maturité réelle, d'identifier les angles morts et de calibrer un plan d'amélioration continue.

Au terme de ces trois phases, l'entreprise dispose d'un socle documenté : registre tenu, déclarations à jour, DPO identifié, politiques formalisées, contrats sous-traitants alignés, procédures testées. La conformité bascule alors d'un projet de mise en route vers un cycle de gestion courante, rythmé par les revues périodiques du registre, les retours d'expérience post-incidents et la veille réglementaire continue sur les évolutions de la Loi 18-07, de la Loi 25-11 et de leurs textes d'application.

FAQ — Loi 25-11 et conformité entreprise

Quelles entreprises doivent désigner un DPO ?

L'article 4 de la Loi 25-11 introduit l'obligation de désigner un délégué à la protection des données dans certaines situations, en fonction de la nature, du volume et de la sensibilité des traitements. La désignation s'apprécie au cas par cas, en s'appuyant sur les catégories de données traitées et sur les risques associés. Une analyse d'éligibilité menée dès le démarrage de la mise en conformité permet d'arbitrer entre ressource interne et prestataire externe.

Quel est le délai pour notifier une violation à l'ANPDP ?

La Loi 25-11 fixe l'obligation de notifier toute violation de données à l'ANPDP dans un délai de cinq jours à compter du moment où le responsable de traitement en a connaissance. La notification décrit la nature de la violation, les catégories et volumes concernés, les conséquences probables et les mesures prises pour atténuer les effets. Une procédure interne préparée à l'avance est indispensable pour respecter ce délai.

Faut-il déclarer chaque traitement séparément ?

La Loi 18-07 prévoit, pour les traitements relevant du régime de la déclaration, qu'un dossier soit déposé pour chaque traitement, sauf possibilités de regroupement définies par les textes ou par les pratiques de l'ANPDP. Le registre interne des traitements sert de support à ces démarches : il permet de structurer les déclarations, d'identifier les modifications substantielles à signaler et de documenter le suivi auprès de l'autorité.

Les données peuvent-elles être hébergées hors Algérie ?

L'hébergement à l'étranger est possible, mais il s'analyse comme un transfert de données à caractère personnel. Il suppose que l'État de destination assure un niveau de protection suffisant ou que des garanties appropriées soient mises en place, dans les conditions prévues par la Loi 18-07 et appréciées par l'ANPDP. Pour les données sensibles ou soumises à des contraintes sectorielles, un hébergement local peut être préférable, voire requis.

Quelles sont les sanctions en cas de manquement ?

Les manquements aux obligations de la Loi 18-07 modifiée par la Loi 25-11 peuvent entraîner des sanctions administratives prononcées par l'ANPDP, telles qu'avertissements, mises en demeure et sanctions financières, ainsi que, dans les cas les plus graves, des sanctions pénales. La Loi 09-04 du 5 août 2009 peut également s'appliquer lorsque les faits relèvent d'infractions liées aux technologies de l'information et de la communication.

Le registre des traitements est-il obligatoire pour toutes les entreprises ?

Le registre des traitements n'est pas une option. Il est l'outil central de la conformité, tenu et mis à jour par le responsable de traitement, et il sert de support aux déclarations à l'ANPDP, à l'analyse des risques et aux contrôles. Sa forme peut être proportionnée à la taille et à la complexité de l'organisation, mais son existence et sa tenue effective sont attendues quelle que soit la taille de l'entreprise.

Comment recueillir un consentement valide ?

Un consentement valide est libre, spécifique, éclairé et univoque. Il est précédé d'une information claire sur l'identité du responsable, la finalité, les destinataires, la durée de conservation et les droits des personnes. Il ne résulte pas du silence ni d'une case précochée. Il peut être retiré à tout moment, par un moyen aussi simple que celui par lequel il a été donné. La preuve du consentement incombe au responsable de traitement.

Que doit contenir une politique de confidentialité ?

Une politique de confidentialité décrit l'identité du responsable de traitement, les coordonnées du DPO le cas échéant, les finalités et bases légales des traitements, les catégories de données collectées, les destinataires, les durées de conservation, les transferts éventuels et les modalités d'exercice des droits. Elle est rédigée dans un langage clair et accessible, mise à jour régulièrement, et cohérente avec les déclarations effectuées auprès de l'ANPDP.

Aller plus loin avec Beeform Academy

Beeform Academy, organisme agréé MFEP N°410, accompagne les entreprises algériennes dans la mise en conformité à la Loi 18-07 modifiée par la Loi 25-11 : audit initial, cartographie des traitements, mise en place du registre, accompagnement à la désignation du DPO, formation des équipes et préparation aux contrôles de l'ANPDP.

Pour engager la démarche ou approfondir un volet particulier :

Sources officielles : Loi n° 18-07 du 25 Ramadhan 1439 correspondant au 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel ; Loi n° 25-11 du 28 Moharram 1447 correspondant au 24 juillet 2025 modifiant et complétant la loi n° 18-07, publiée au Journal Officiel de la République Algérienne Démocratique et Populaire n° 47 du 27 juillet 2025 ; Loi n° 09-04 du 14 Chaâbane 1430 correspondant au 5 août 2009 portant règles particulières relatives à la prévention et à la lutte contre les infractions liées aux technologies de l'information et de la communication ; décrets exécutifs d'application pris pour l'exécution de ces lois.

Pour approfondir la conformité Loi 25-11