Documents légaux et conformité réglementaire entreprise
La loi 18-07 est en vigueur depuis 2018 — les contrôles terrain ont commencé en 2024.

Pourquoi la loi 18-07 s'applique à votre entreprise maintenant

Adoptée le 10 juin 2018 et publiée au Journal Officiel N°34, la loi relative à la protection des personnes physiques dans le traitement des données à caractère personnel est souvent perçue comme un texte dormant. Cette perception est dangereuse.

L'Autorité Nationale de Protection des Données Personnelles (ANPDP) a été créée par le décret n°22-187 du 18 mai 2022 et installée en août 2022. Depuis août 2023 — soit un an après son installation — le délai de grâce est officiellement terminé. En février 2024, l'ANPDP a mené ses premières missions de contrôle terrain dans le secteur privé. Le message est clair : la phase de tolérance est révolue.

📊 Chiffre : l'ANPDP compte 16 membres et dispose de pouvoirs de contrôle, d'injonction et de sanction. Les premières missions terrain ont eu lieu en février 2024 — la fenêtre pour se mettre en conformité sans risque se referme.

Le champ d'application de la loi est très large : tout organisme public ou privé établi en Algérie, mais aussi tout organisme étranger qui cible des résidents algériens ou traite des données les concernant. Si vous gérez une base clients, un CRM, un formulaire de contact ou un système RH, vous êtes concerné.

Les 8 obligations principales de la loi 18-07

La loi 18-07 impose un cadre structuré autour de huit obligations fondamentales. Voici la check-list à valider pour chaque traitement de données :

  1. Déclaration préalable à l'ANPDP : avant tout traitement de données personnelles, une déclaration (ou autorisation selon la sensibilité des données) doit être déposée auprès de l'ANPDP. C'est l'obligation la plus fréquemment absente.
  2. Registre des traitements : tenir un registre documentant chaque traitement (finalité, catégories de données, destinataires, durée de conservation, mesures de sécurité).
  3. Consentement écrit : la collecte de données doit reposer sur un consentement explicite, libre et documenté. Le consentement implicite ne suffit pas.
  4. Principe de minimisation : ne collecter que les données strictement nécessaires à la finalité déclarée. Toute donnée superflue est une exposition inutile.
  5. Information des personnes : chaque personne dont les données sont collectées doit être informée de l'identité du responsable, de la finalité du traitement et de ses droits.
  6. Sécurité technique et organisationnelle : mettre en place des mesures de protection adaptées au risque (chiffrement, contrôle des accès, journalisation).
  7. Notification des violations : en cas de violation de données, l'ANPDP et les personnes concernées doivent être notifiées dans des délais définis.
  8. Encadrement des transferts internationaux : tout transfert de données vers un pays étranger requiert une autorisation préalable de l'ANPDP.

⚠️ Les 3 manquements les plus fréquents constatés par l'ANPDP : absence de déclaration préalable, pas de registre des traitements, pas de politique de confidentialité publiée. Ces trois points sont aussi les plus faciles à corriger rapidement.

L'ANPDP : qui contrôle, comment, avec quelles sanctions ?

L'ANPDP dispose de trois types de pouvoirs vis-à-vis des organismes contrôlés :

Les pouvoirs de contrôle

Les agents de l'ANPDP peuvent procéder à des vérifications sur place dans les locaux de l'organisme, accéder aux systèmes informatiques, et demander la communication de tout document utile. Les contrôles peuvent être déclenchés suite à une plainte ou de manière proactive, par secteur d'activité.

Les sanctions administratives

En cas de manquement, l'ANPDP peut prononcer :

  • Un avertissement formel
  • Une mise en demeure avec délai de mise en conformité
  • Des amendes administratives pouvant atteindre 500 000 DA
  • Des mesures conservatoires : suspension immédiate d'un traitement jugé illicite

Les sanctions pénales

Au-delà des sanctions administratives, la loi 18-07 prévoit des sanctions pénales directement applicables par les juridictions :

⚠️ Sanctions pénales : de 2 à 5 ans d'emprisonnement et des amendes de 200 000 à 500 000 DA pour les infractions les plus graves (collecte sans consentement, traitement de données sensibles non autorisé, transfert illicite vers l'étranger).

Tableau comparatif : loi 18-07 vs RGPD européen

La loi 18-07 s'est largement inspirée du RGPD, mais avec des spécificités propres au contexte algérien :

Critère Loi 18-07 (Algérie) RGPD (UE)
Entrée en vigueur effective Août 2023 Mai 2018
Autorité de contrôle ANPDP (16 membres) CNIL / DPA nationales
Consentement Écrit et explicite Explicite et documenté
Registre des traitements Obligatoire Obligatoire (Art. 30)
DPO (Délégué Protection Données) Introduit par loi 25-11 (2025) Obligatoire Art. 37 RGPD
Amendes maximales ~2 millions DZD (admin + pénal) 20 millions EUR ou 4% CA mondial
Transferts internationaux Autorisation ANPDP préalable Décision d'adéquation / SCCs
Notification de violation Obligatoire (délai 18-07) / 5 jours (25-11) 72 heures (Art. 33 RGPD)
Droits des personnes Information, accès, rectification (10 jours), opposition 6 droits dont effacement, portabilité

💡 À retenir : si votre entreprise est déjà conforme au RGPD, vous avez effectué 70% du travail pour la loi 18-07. La principale différence réside dans la déclaration préalable à l'ANPDP — formalité inconnue du RGPD — et dans le régime des transferts internationaux.

La loi 25-11 : le renforcement du cadre en 2025

Adoptée en juillet 2025, la loi 25-11 vient renforcer et préciser le cadre de la loi 18-07. Elle introduit plusieurs obligations nouvelles qui modifient substantiellement la gestion des données personnelles en Algérie :

  • 🎯 DPO obligatoire : les organismes traitant des données à grande échelle ou des données sensibles doivent désigner un Délégué à la Protection des Données (DPO), en interne ou par externalisation.
  • 🎯 Journalisation obligatoire : tout accès aux données personnelles doit être tracé et journalisé. Cette obligation impose une mise à niveau des systèmes informatiques.
  • 🎯 Notification des incidents sous 5 jours : le délai de notification d'une violation de données à l'ANPDP est désormais fixé à 5 jours calendaires.
  • 🎯 DPIA obligatoire : pour les traitements à risque élevé (données biométriques, surveillance à grande échelle, profilage), une Analyse d'Impact relative à la Protection des Données (DPIA) est requise avant le démarrage du traitement.

📊 Contexte cyber : en 2024, Kaspersky a recensé 70+ millions de cyberattaques ciblant l'Algérie. La loi 25-11 s'inscrit dans une réponse réglementaire directe à cette menace croissante sur les données des résidents algériens.

Check-list de mise en conformité en 6 étapes

Voici la feuille de route pratique pour une mise en conformité structurée :

  1. 🗺️ Étape 1 — Cartographie des traitements : identifier tous les traitements de données personnelles dans votre organisation (RH, clients, prospects, fournisseurs, vidéosurveillance, etc.). Cette cartographie est le point de départ de toute démarche.
  2. 📋 Étape 2 — Registre des traitements : pour chaque traitement identifié, documenter la finalité, la base légale, les catégories de données, les destinataires, la durée de conservation et les mesures de sécurité.
  3. 📣 Étape 3 — Déclaration à l'ANPDP : déposer les déclarations préalables ou demandes d'autorisation pour chaque traitement selon sa nature. C'est l'obligation la plus urgente à régulariser.
  4. 📄 Étape 4 — Politique de confidentialité : rédiger et publier une politique de confidentialité conforme sur votre site web et vos interfaces numériques. Elle doit informer les utilisateurs de leurs droits et des modalités de traitement.
  5. 🔒 Étape 5 — Sécurité technique : auditer vos applications et infrastructures pour identifier les failles, mettre en place le chiffrement, le contrôle des accès et la journalisation exigée par la loi 25-11.
  6. 👤 Étape 6 — Désignation d'un DPO : en application de la loi 25-11, désigner un responsable de la protection des données — en interne si les compétences existent, ou via un prestataire externe si vous manquez de ressources.

🐝 Beeform Tech — Audit conformité 18-07 & 25-11 : notre équipe réalise l'audit complet de vos applications (cartographie, registre des traitements, module de consentement, politique de confidentialité conforme, journalisation). Mise en conformité complète avec livrable documenté. Demander un audit →