Appelez-nous ! +213 (0)21 52 34 25 / +213 (0)671 727 106 / +213 (0) 560 044 717|info@itsolutions.dz
LinkedInFacebook

Loi 25-11 vs 18-07 : ce qui change pour les entreprises

Loi 25-11 vs 18-07 : ce qui change pour les entreprises

1. Résumé exécutif 

La loi 18-07 encadre en Algérie la protection des données personnelles : consentement, transparence, sécurité, formalités auprès de l’Autorité, contrôle des transferts internationaux et sanctions. Pour les entreprises, elle impose une gouvernance data robuste, des contrats de sous-traitance, une gestion des incidents et des autorisations de transfert.

La loi 25-11 (24 juillet 2025) modernise et complète la loi 18-07 (10 juin 2018) sur la protection des données en Algérie.
Elle rend obligatoire un DPD, impose un registre des traitements et un carnet d’audit, limite les décisions entièrement automatisées et réduit à cinq jours le délai de notification des violations, avec des amendes administratives renforcées.

Ce préambule générale étant achevé nous allons débuter notre article :

En Algérie, s’il y a bien une constante, c’est celle des changements de réglementations et de lois. Parfois, l’écosystème local est préparé, mais bien des fois celui-ci se retrouve au dépourvu et ne peut anticiper la myriade de nouvelles obligations qui, souvent, pendent au dessus de la tête des entreprises et industries telle une épée de Damoclès, qui tombera fatidiquement à un moment donné.
Pour s’en prémunir, nous avons conçu ce guide pragmatique sur la protection des données en Algérie : loi 18-07 et loi 25-11.

Cet article ne constitue pas un avis juridique — notre équipe n’intègre pas de juriste — mais il décortique l’essentiel : ce qui change, ce qui s’applique dès maintenant, et comment s’y conformer sans bloquer l’activité.

Avant d’entrer dans le « que faire », posons-le « pourquoi » : ce que visent ces lois, ce qu’elles changent vraiment pour votre gouvernance data, et comment transformer une contrainte réglementaire en avantage compétitif. Ensuite seulement, on passera au plan d’action concret.

 

2. Pourquoi ces lois maintenant

En réunion de direction, un même constat revient : la donnée circule partout (ERP, CRM, applications mobiles, cloud, sous-traitants), mais les règles n’étaient ni uniformes ni assez visibles.

La loi 18-07, puis la loi 25-11, arrivent pour stabiliser le terrain de jeu : protéger les personnes, sécuriser les flux, et donner aux entreprises un cadre fiable pour opérer — localement et à l’international. Dit autrement, ce n’est pas une “contrainte de plus”, c’est un mode d’emploi pour éviter les risques évitables et gagner en crédibilité auprès des clients et partenaires.

Toutefois en pratique, ces textes n’arrivent pas comme un cadeau : ils imposent un coût de conformité dans un contexte où les SI sont hétérogènes, les équipes limitées et les chaînes de sous-traitance éclatées.
Pour beaucoup d’entreprises locales — surtout les PME — la question n’est pas « comment en tirer avantage », mais comment absorber la charge sans bloquer l’opérationnel (cloud, analytics, ventes, RH).

  • Coûts immédiats : cartographie des traitements, registres, DPIA, procédures d’incident, refonte des bannières/consentements, clauses contractuelles avec les sous-traitants.
  • Ambiguïtés et délais : zones grises d’interprétation, calendrier d’application, attentes de l’autorité → risque d’arbitrages conservateurs et de sur-conformité.
  • Friction cloud & transferts : contraintes sur l’hébergement et les flux hors d’Algérie → renégociations SaaS, duplication d’environnements, latence/coûts accrus.
  • Impact data/IA : minimisation, bases légales et traçabilité réduisent la donnée exploitable et complexifient les projets analytics/ML.
  • Sous-traitance en cascade : audits, DPA, droits d’accès, réversibilité → pression sur les fournisseurs locaux, risques de rupture de service.
  • Overlap réglementaire : empilement avec règles sectorielles (finance, télécom, santé) → exigences parfois contradictoires.
  • Risque financier : sanctions, mises en demeure, appels d’offres perdus faute de preuves de conformité ; hausse des primes cyber/compliance.
  • Pénurie de compétences : peu de profils formés (DPO, juristes data, sécu) → dépendance à des cabinets externes, coûts récurrents.

 

3. Loi 18-07 en bref (portée, principes, rôles)

En clair, la loi 18-07 pose le socle algérien de protection des données : qui décide des traitements, sur quelles bases, avec quels garde-fous, et quels droits pour les personnes. Sur le terrain, elle agit comme une grille de contraintes à cocher avant d’exploiter la data : finalités claires, minimisation, sécurité, traçabilité.

Pour une entreprise locale, ce n’est pas “du juridique abstrait” : c’est ce qui conditionne ce que ton ERP, ton CRM, tes apps et tes fournisseurs ont le droit de faire — et comment ils doivent le prouver.

  • Portée : tout traitement de données à caractère personnel réalisé en Algérie ou visant des personnes situées en Algérie.
  • Rôles : responsable de traitement (décide finalités/moyens) et sous-traitant (agit pour le compte) avec obligations distinctes.
  • Principes : transparence, finalité déterminée, minimisation, exactitude, limitation de conservation, sécurité ; responsabilisation documentée.
  • Bases légales : consentement quand requis, exécution d’un contrat, obligation légale, intérêt vital/public, intérêt légitime (à justifier et équilibrer).
  • Droits des personnes : information, accès, rectification, opposition, effacement dans certains cas, retrait du consentement, plainte auprès de l’autorité.
  • Registre des traitements : cartographie formelle des activités (finalités, catégories, durées, destinataires, sécurité).
  • DPIA (analyse d’impact) : exigée pour traitements à risque élevé (profilage, grande échelle, données sensibles, etc.).
  • Données sensibles : régime renforcé (santé, biométriques, opinions, etc.) avec encadrements et exceptions strictes.
  • Sous-traitance : contrat écrit obligatoire (confidentialité, mesures de sécurité, assistance aux droits, réversibilité/auditabilité).
  • Sécurité & incidents : mesures techniques/organisationnelles adaptées ; notification d’atteinte selon conditions et délais fixés par l’autorité.
  • Transferts internationaux : encadrement spécifique des flux hors d’Algérie (garanties/autorisation, documentation des risques).
  • Gouvernance : désignation d’un référent “data protection” (type DPO) recommandée et parfois exigée selon la nature/échelle des traitements.
  • Archivage & rétention : durées justifiées, purge/sécurisation en fin de vie, journalisation des accès.

 

4. Loi 25-11 : le tour de vis (réalisme terrain + obligations concrètes)

On ne va pas se mentir : la loi 25-11 ne rajoute pas une jolie couche cosmétique. Elle resserre l’étau.
Là où la 18-07 posait des principes, la 25-11 exige des preuves, des procédures vivantes et des délais.
Pour un SI fragmenté, cela signifie plusieurs chantiers en parallèle : gouvernance, traçabilité, contrats fournisseurs, réponse à incident, transferts internationaux.
Pour une PME algérienne, l’enjeu ressemble moins à « créer de la valeur » qu’à éviter l’asphyxie opérationnelle tout en restant vendable auprès de clients exigeants.

  • Gouvernance renforcée : désignation d’un référent/DPO clairement identifié, rôle formalisé, point de contact avec l’autorité ; intégration de la conformité dans les cycles projets (IT, RH, Marketing, Achats).
  • Traçabilité “durcie” : au-delà du registre des traitements, journalisation des opérations (collecte, consultation, modification, effacement) et capacité à produire la preuve « qui a fait quoi, quand et pourquoi ».
  • Études d’impact (DPIA/EIP) : avant tout traitement à risque élevé (nouvelles technos, large échelle, données sensibles…), avec mesures compensatoires documentées ; consultation de l’autorité si le risque résiduel reste haut.
  • Violations de données : procédure interne obligatoire (détection, qualification, décision d’escalade), notification rapide à l’autorité et information des personnes quand le risque l’exige ; tenue d’un registre des incidents.
  • Sous-traitants et SaaS : clauses contractuelles renforcées (sécurité, confidentialité, réversibilité, notification d’incident, localisation), et responsabilités partagées (fin du “c’est chez l’éditeur”).
  • Transferts internationaux : conditions strictes (adéquation/garanties appropriées), documentation des flux et des bases légales ; revue des architectures cloud et des contrats multi-pays.
  • Contrôle et sanctions : pouvoirs de contrôle opérationnels, portée élargie, barème dissuasif ; la non-conformité documentée devient coûteuse (amendes, injonctions, pertes d’appels d’offres).
  • Délais et opérationnalisation : montée en conformité par étapes, selon les modalités et textes d’application ; nécessité d’un plan directeur priorisant les risques business (RH, ventes, santé, finance).

Source officielle : Journal officiel de la République algérienne (texte de la loi 25-11).

 

5. Loi 18-07 vs Loi 25-11 : comprendre l’écart en 30 secondes (puis le détailler)

Pour aller vite : la 18-07 racontait le “quoi”, la 25-11 impose le “comment” et le “montrez-le”.
On passe d’un cadre de principes à un programme de conformité mesurable, avec des rôles, des registres, des études d’impact, des procédures d’incident et des mécanismes pour les transferts.
Conséquence directe : budget, priorisation, preuves.

  • Philosophie : 18-07 = principes et droits ; 25-11 = opérationnalisation (gouvernance, preuves, délais).
  • Traçabilité : 18-07 = registre ; 25-11 = registre + journalisation des opérations.
  • Gouvernance : 18-07 = référent recommandé ; 25-11 = référent/DPO formalisé avec missions.
  • Risque : 18-07 = DPIA pour cas élevés ; 25-11 = DPIA anticipée + consultation si risque résiduel.
  • Incidents : 18-07 = sécurité & information ; 25-11 = procédure, notification rapide, preuve.
  • Sous-traitance : 18-07 = contrat ; 25-11 = clauses renforcées (audit, localisation, réversibilité).
  • Transferts : 18-07 = encadrement ; 25-11 = conditions strictes + documentation continue.
  • Contrôle/sanctions : 18-07 = sanctions prévues ; 25-11 = contrôle outillé + barème plus dissuasif.

Tableau comparatif

Domaine Loi 18-07 Loi 25-11
Gouvernance Référent recommandé selon contexte Référent/DPO formalisé, rôle et interlocution claire
Registre Registre des traitements Registre + journalisation des opérations clés
Études d’impact DPIA pour risques élevés DPIA avant projet + consultation si risque résiduel
Incidents Mesures de sécurité, information Procédure interne, notification rapide, registre des incidents
Sous-traitants Contrat écrit, sécurité Clauses renforcées (audit, réversibilité, localisation, délais d’alerte)
Transferts Encadrement/autorisation Adéquation/garanties + cartographie & preuves des flux
Contrôle & sanctions Sanctions prévues Pouvoirs accrus, barème dissuasif, pression probatoire
Sources : Journal officiel de la République algérienne — loi 18-07 (2018) et loi 25-11 (2025).

Sources : Journal officiel de la République algérienne — loi 18-07 (2018) et loi 25-11 (2025).

 

6. Impacts par fonction (IT, RH, Marketing, Juridique…)

Dans les faits, la loi 25-11 (dans le sillage de la loi 18-07) ne se “gère” pas au juridique uniquement : elle traverse tout l’organigramme.
Chaque service manipule de la donnée, donc chaque service porte une part du risque. La clé n’est pas un mémo de plus, mais des preuves vivantes : registres à jour, contrats durcis, procédures testées, journaux d’accès exploitables.
Ci-dessous, ce qui change demain matin par équipe.

IT & Sécurité

  • Cartographie SI & flux (ERP, CRM, M365/Workspace, SaaS, sauvegardes) + journalisation “qui a fait quoi, quand, pourquoi”.
  • Localisation & transferts : identifier les environnements hors d’Algérie, documenter les bases légales, alternatives locales.
  • Contrôles d’accès (RBAC), chiffrement (repos/transit), rotation des clés, rétention et purge automatisée.
  • Plan incidents : détection, tri, décision d’escalade, notification horodatée, registre des violations.
  • DPIA by design dans les cycles projets (nouveaux traitements, IA, IoT).

 

Data / Analytics / IA

  • Bases légales & minimisation : limiter les champs utilisés, pseudonymiser quand possible.
  • Catalogue & lignée des données : source → usage → sortie (traçabilité analytique).
  • DPIA pour modèles à risque (profilage, large échelle) + jeux de tests non ré-identifiants.
  • Garde-fous MLOps : features sensibles, dérives, explainability, documentation reproductible.

RH

  • Dossiers salariés & candidats : durées de conservation justifiées, accès restreints, purge.
  • Biométrie / contrôle d’accès / géolocalisation : encadrement strict, information des personnes, DPIA si nécessaire.
  • Médecine du travail / données santé : circuits séparés, confidentialité renforcée, accès tracés.

Marketing / CRM

  • Consentements (email/SMS/push) traçables ; centre de préférences ; listes d’exclusion.
  • Web & tracking : transparence, granularité, désactivation sur refus ; tags et pixels inventoriés.
  • Leads & partenariats : clauses data avec agences/affiliés, contrôle périodique des transferts.

Juridique / Conformité

  • Référent/DPO désigné, rôle formalisé ; registre des traitements tenu à jour.
  • Contrats sous-traitants : sécurité, auditabilité, réversibilité, délais d’alerte, localisation.
  • Politique transferts : cartographie, bases légales, mécanismes de garanties, preuve documentaire.

Achats / Partenariats

  • Due diligence data dans les RFP ; SLA conformité (incidents, délais, reporting).
  • Droits d’audit contractuels ; plan de sortie (extraction, effacement, réversibilité).
  • Évaluation des risques : scoring fournisseurs (hébergement, sous-traitance en chaîne).

Finance

  • Budget de conformité (CAPEX/OPEX) et coût du risque (amendes, appels d’offres perdus, primes cyber).
  • Indicateurs de pilotage : % traitements cartographiés, % contrats mis à jour, MTTR incidents, audits passés.

Opérations / Industriel (OT/IoT)

  • Télémétrie machines / wearables / vidéosurveillance : DPIA + séparation claire sûreté vs RH.
  • Accès distance fournisseurs : tunnels sécurisés, journalisation, révocation rapide.
  • Jumeaux numériques / maintenance prédictive : minimisation, agrégation, pseudo.

Direction Générale

  • Priorisation des 10 traitements critiques (risque élevé business + personnes).
  • Comité data protection mensuel : arbitrages, levée d’obstacles, suivi KPI.
  • Narratif client & AO : capacité à prouver la conformité (dossiers, logs, contrats).

 

Dis comme cela, tout ce jargon peut vous paraître flou, nous allons tenter de donner des exemples au cas par cas, par moment, uniquement compréhensible par des gens du domaines

 

7. Exemples par fonction — avec cas d’usage concrets

Sur le terrain, la conformité n’est pas un document Word : c’est une série de gestes techniques et contractuels qu’on peut montrer (logs, captures, clauses, tickets). Voici, équipe par équipe, ce que ça donne en pratique.

IT & Sécurité

  • Cartographie SI & fluxEx. schéma des échanges : Odoo 17 sur VPS à Oran → synchro quotidienne vers Power BI (région UE) → sauvegarde chiffrée sur S3 Paris ; lien vers le plan de journalisation Azure AD (connexions, rôles).
  • Localisation & transfertsEx. CRM SaaS hébergé en Espagne : fiche de traitement avec base légale, finalité, mesures (chiffrement, contrôle d’accès) + note de décision sur l’alternative d’hébergement local et ses impacts (latence/coût).
  • Contrôles d’accès & chiffrementEx. rôles RBAC : seuls “RH_Manager” voient les salaires dans l’ERP ; chiffrement au repos sur la base paie ; rotation des clés tous les 90 jours (journal de rotation à l’appui).
  • Plan incidentsEx. compromission d’une boîte mail par phishing : ticket horodaté J+0 (isolement, reset MFA), J+1 (revue des logs), décision de notification si données perso exposées ; registre des incidents mis à jour.
  • DPIA by designEx. déploiement de contrôle d’accès biométrique au dépôt : DPIA validant nécessité/proportionnalité, rétention 90 jours, fournisseur auditable, procédure d’effacement à la sortie.

Data / Analytics / IA

  • Bases légales & minimisationEx. modèle de churn : on retire la date de naissance et on pseudonymise les IDs clients ; on justifie l’intérêt légitime (fidélisation) + droit d’opposition via centre de préférences.
  • Catalogue & lignéeEx. entrée “POS_Bejaia” dans le data catalog : source, règles de nettoyage, transformations SQL, destinations (“dash_sales”), propriétaire de la donnée, SLA de mise à jour.
  • DPIA pour modèles à risqueEx. scoring de crédit B2C : DPIA + tests de biais (âge/genre), plan de mitigation (seuils, features exclues), revue trimestrielle documentée.
  • Garde-fous MLOpsEx. drift detection qui gèle le déploiement si dérive > 5 % ; pipeline versionné (MLflow) + fiche d’explicabilité fournie au support client.

RH

  • Dossiers salariés & candidatsEx. purge automatique des candidatures > 24 mois ; table d’habilitations : seuls RH Senior accèdent aux évaluations ; export d’audit disponible.
  • Biométrie / géolocalisationEx. pointeuse empreinte : clause contractuelle sur la rétention (90 jours), chiffrement template biométrique, information affichée à l’entrée ; DPIA jointe.
  • Données santé / médecine du travailEx. attestations d’aptitude stockées dans un répertoire séparé chiffré, accès limité (2 personnes), traçabilité des consultations.

Marketing / CRM

  • Consentements traçablesEx. centre de préférences (email/SMS/push) : chaque opt-in/opt-out a un horodatage, une preuve d’origine (formulaire, salon), et une preuve de retrait.
  • Web & trackingEx. bannière granulaire : Google Analytics inactif par défaut ; activation après consentement ; Tag Manager inventorié (liste des tags, finalité, fournisseur).
  • Leads & partenairesEx. agence événementielle remet un fichier de prospects : DPA signé (sécurité, suppression sous 30 jours), dépôt via SFTP, contrôle qualité puis suppression certifiée.

Juridique / Conformité

  • Référent/DPOEx. lettre de désignation, charte de mission (indépendance, moyens), calendrier de revues mensuelles avec la DG, et plan de formation interne.
  • Contrats sous-traitantsEx. addendum avec l’hébergeur : droit d’audit une fois/an, préavis 72 h en cas d’incident, réversibilité en 15 jours, localisation des données précisée.
  • Politique transfertsEx. registre des flux : CRM (Madrid), emailing (Francfort), support (Casablanca). Pour chaque flux : base légale, mesures de sécurité, décision documentée et pièces justificatives.

Achats / Partenariats

  • Due diligence dataEx. RFP intègre un questionnaire sécurité & data (hébergement, sous-traitants, certifications), pondéré dans la grille d’évaluation.
  • SLA conformitéEx. clause de reporting trimestriel (incidents, changements d’infrastructure) + pénalités en cas de non-respect.
  • Droits d’audit & plan de sortieEx. procédure d’export intégral (format, délais), effacement certifié en fin de contrat, test de réversibilité annuel.
  • Scoring fournisseurEx. matrice de risque : hébergement hors Algérie (+2), sous-traitance en chaîne (+2), pas de chiffrement au repos (+3) → mitigation exigée avant signature.

Finance

  • Budget & coûts récurrentsEx. CAPEX : SIEM + licences DLP ; OPEX : DPO externalisé 2 j/mois, pentests, audits. Business case : coût d’inaction vs coût de mise en conformité.
  • KPI de pilotageEx. % traitements cartographiés (objectif 90 j : 80 %), % contrats mis à jour (60 %), MTTR incidents < 72 h, nombre d’audits passés sans non-conformité majeure.

Opérations / Industriel (OT/IoT)

  • Télémétrie / vidéosurveillanceEx. capteurs de vibration : agrégation horaire sans identifiant opérateur ; panneau d’information sur site ; DPIA jointe au dossier HSE.
  • Accès distance fournisseursEx. comptes VPN just-in-time valables 8 h pour la maintenance ; journalisation des actions (ticket associé), révocation automatique en fin d’intervention.
  • Jumeaux numériquesEx. données machines anonymisées avant export vers le cloud de simulation ; séparation claire des usages sûreté vs RH.

Direction Générale

  • Top 10 traitements critiquesEx. paie, recrutement, facturation, service client, e-commerce, vidéosurveillance, contrôle d’accès, maintenance prédictive, CRM, emailing : chacun a une fiche et un propriétaire.
  • Comité data protectionEx. réunion mensuelle (DPO, IT, RH, Marketing, Juridique) : arbitrages sur risques, budget, blocages, décisions tracées.
  • Narratif appels d’offresEx. dossier conformité annexé (registre, DPIA clés, modèles de clauses, extraits de logs), utilisé comme preuve dans les AO publics/privés.

8. Plan d’action 90 jours (pragmatique, sans casser l’opérationnel)

Le but n’est pas d’écrire un beau mémo : c’est de faire baisser le risque visible en trois sprints.
On documente ce qu’on fait, on coupe ce qu’on ne peut pas prouver, et on priorise 10 traitements critiques.
Pas de grand soir : des gestes simples, mesurables, qui tiennent dans votre rythme business.

Semaine 1–2 — Cadrage & gouvernance

  • Nommer le référent/DPO (interne ou externalisé), lettre de mission signée, pouvoirs/moyens actés.
  • Top 10 traitements : paie, CRM, SAV, e-commerce, vidéosurveillance, contrôle d’accès, etc. → un propriétaire chacun.
  • Comité data mensuel (DG, IT, RH, Marketing, Juridique) + KPI de suivi.
  • Outils de base : modèle de registre, inventaire SaaS/sous-traitants, carte des flux (où vont les données).
  • Preuves : PV de nomination, calendrier comité, backlog Jira/Planner, première version du registre.

Semaine 3–4 — Cartographie & risques

  • Recenser données/traitements/sous-traitants, classer sensibilité (RH, santé, clients).
  • Identifier les transferts hors Algérie (cloud, support, sauvegardes).
  • Pré-DPIA (screening) sur les 10 traitements : repérer ceux “à risque élevé”.
  • Preuves : registre v1, data map (schéma), liste transferts, checklists de screening.

Semaine 5–6 — Contrats & consentements

  • DPA (avenants data) : sécurité, notification d’incident, localisation, droit d’audit, réversibilité.
  • Renégocier les 5 fournisseurs critiques (ERP/CRM/emailing/hébergement/helpdesk).
  • Centre de préférences (email/SMS/push) + bannières cookies paramétrées (tags bloqués par défaut).
  • Preuves : DPA signés, captures du centre de préférences, rapport Tag Manager, procès-verbal des tests.

Semaine 7–8 — Sécurité & gestion d’incidents

  • MFA partout, RBAC (rôles par besoin), chiffrement au repos et en transit.
  • Journalisation exploitable : qui a fait quoi, quand et pourquoi (authent, exports, effacements).
  • Runbook incident (détection → décision → notification → remédiation) + exercice table-top.
  • Preuves : rapports MFA/RBAC, extrait de logs, compte rendu d’exercice.

Semaine 9–10 — DPIA ciblées & transferts

  • Conduire 2–3 DPIA complètes (vidéosurveillance, biométrie, scoring CRM…) + mesures compensatoires.
  • Décider si consultation de l’autorité est nécessaire (si risque résiduel reste élevé).
  • Trancher sur les transferts : mécanismes de garanties, ou plan de relocalisation pragmatique.
  • Preuves : DPIA signées, matrice risques/mesures, note de décision transferts.

Semaine 11–12 — Formation, audit à blanc, pack AO

  • Former IT/RH/Marketing/Achats sur leurs gestes clés (1h ciblée par équipe).
  • Audit interne à blanc sur les 10 traitements (traces + contrats + procédures).
  • Constituer le pack “preuve de conformité” (registre, extraits de journaux, DPIA, DPA, runbook).
  • Preuves : feuilles d’émargement, rapport d’audit, pack AO prêt à l’emploi.

Fast-track PME (30 jours si appel d’offres en vue)

  • S1 : Nommer référent, top 10 traitements, registre v1, MFA/RBAC.
  • S2 : Bannières + centre de préférences, DPA pour 3 fournisseurs majeurs.
  • S3 : DPIA la plus critique, runbook incident + exercice rapide.
  • S4 : Pack AO (preuves), note de position sur transferts.

Livrables essentiels (à pouvoir montrer)

  • Registre (tenu à jour), data map, DPA signés, DPIA (pour les cas à risque), runbook + journal d’incidents, extraits de logs, politique de transferts, preuve MFA/RBAC, bannières/consentements configurés.

KPI de fin de trimestre (simplicité volontaire)

  • ≥ 80 % des traitements cartographiés, ≥ 60 % des contrats mis à jour, 100 % MFA sur comptes admins, 1 exercice incident réalisé, 0 tag marketing actif sans consentement.

Anti-patterns à éviter

  • Déployer une bannière sans bloquer les tags par défaut.
  • Confondre sauvegarde et rétention légale.
  • Empiler des politiques PDF jamais testées.
  • Pseudo-“DPO” sans moyens ni mandat.

(Référentiels utiles pour structurer sans s’éparpiller : ISO/IEC 27001 & 27701 pour la partie sécu/PRIV, pratiques de DPIA alignées au standard.)

SI vous vous sentez perdu au milieu de tout ce cadre réglementaire, n’hésitez pas à nous contacter pour vous aider dans vos démarches.

 

9. Risques & sanctions (combien ça coûte, ce qui s’arrête, qui peut finir au pénal)

Ce n’est pas une menace théorique. L’ANPDP peut infliger une amende administrative de 500 000 DA, ordonner le retrait/suspension d’un traitement, et — en cas de récidive ou d’infractions graves — le dossier bascule au pénal (peines de prison et amendes significatives).
Le juge civil peut, en parallèle, bloquer un traitement et accorder des dommages-intérêts.
Bref : coût financier, interruption d’activité et exposition personnelle des dirigeants.

  • Amende administrative : 500 000 DA (art. 47)
    Ex. une entreprise ignore les demandes d’accès/rectification/opposition des personnes, ou ne fait pas les notifications requises (déclaration, modification, représentant local) → 500 000 DA. En cas de récidive, le dossier part au pénal (art. 64).
  • Retrait/Suspension d’urgence par l’ANPDP (art. 48)
    Ex. un traitement déclaré devient contraire à la sécurité nationale ou aux bonnes mœurs → l’Autorité peut retirer immédiatement l’autorisation/récépissé (suspension, puis arrêt si non-conformité persistante).
  • Violations “cœur de la loi” : peines pénales lourdes (art. 54, 56, 57, 60…)
    Exemples typiques :
    Atteinte aux principes fondamentaux (art. 2) → 2 à 5 ans + 200 000 à 500 000 DA.
    Traitement sans déclaration/autorisation (art. 56) → 2 à 5 ans + 200 000 à 500 000 DA.
    Traitement de données sensibles illégal (art. 57) → 2 à 5 ans + 200 000 à 500 000 DA. Résumé exécutif
    Accès illégal / laxisme d’accès (art. 60) → 2 à 5 ans + 200 000 à 500 000 DA.
  • Autres délits fréquents (marketing, SI, terrain)
    Détournement de finalité (réutiliser une base client non prévue) → 6 mois à 1 an + 60 000 à 100 000 DA.
    Collecte déloyale/frauduleuse (formulaires trompeurs, scraping illicite) → 1 à 3 ans + 100 000 à 300 000 DA.
    Entrave aux contrôles de l’ANPDP (refus de vérification, infos altérées) → 6 mois à 2 ans + 60 000 à 200 000 DA.
  • Mesures civiles & compétence des tribunaux (art. 52–53)
    Ex. une personne lésée saisit le juge pour faire cesser un traitement et obtenir réparation ; les juridictions algériennes restent compétentes même si l’infraction a été commise hors d’Algérie par un acteur algérien.
  • Récidive : bascule pénale (art. 64)
    Ex. après une amende art. 47, l’entreprise persiste → activation des peines pénales prévues par l’art. 64 (logique de seuil : l’admin ne suffit plus).
  • Résumé “impact business”
    Jusqu’à 500 000 DA d’amende (administratif) et jusqu’à 5 ans de prison (pénal) ; l’ANPDP peut suspendre/interdire un traitement, ce qui peut paralyser une activité (ex. CRM/emailing).

Preuves attendues en contrôle : registre à jour, DPIA avant déploiement, journalisation (qui a fait quoi), DPA fournisseurs, runbook incident + horodatages, décisions écrites sur transferts et bases légales. (À défaut, mise en demeure → amende → retrait → pénal.)

Source officielle unique (mentionnée une fois, comme convenu) : Journal officiel – loi 18-07 modifiée par loi 25-11 (JORADP).

FAQ

1. La loi sur les données personnelles s’applique-t-elle à ma PME qui n’a que des clients professionnels et peu de données ?

Oui. La loi 18-07 s’applique à toute entité traitant des données personnelles en Algérie, y compris les PME et même les artisans indépendants (personnes physiques exerçant pro)[269].
Dès que vous traitez des informations sur des personnes physiques identifiables (employés, contacts chez vos clients, etc.), la loi s’applique.
Le volume n’importe pas : “nul n’est censé ignorer la loi”. Cependant, l’ANPDP fait preuve de pédagogie et proportionnalité.
Pour une très petite structure, les formalités seront allégées (possibilité de déclaration simplifiée par ex.[73]).
Mais vous devez quand même respecter les principes de base (consentement, sécurité, droits).
En clair, aucune entreprise n’est trop petite pour être concernée ; au contraire, commencez tôt à vous conformer, ce sera plus facile que de rattraper plus tard.

2. Je suis une société étrangère sans établissement en Algérie, mais j’y offre des services en ligne. Suis-je concerné ?

Probablement oui. Si vous ciblez des utilisateurs en Algérie (site en .dz ou livraisons en Algérie, etc.), et utilisez des “moyens de traitement situés sur le territoire algérien”[33] – par ex. des cookies sur l’appareil de l’utilisateur en Algérie –, alors la loi s’applique à vous.
Vous devez désigner un représentant local en Algérie[34] qui servira de contact avec l’ANPDP.
C’est similaire au RGPD européen qui impose un représentant aux sociétés non-UE ciblant l’UE.
Concrètement, trouvez un partenaire ou cabinet algérien qui accepte ce rôle et notifiez son identité à l’ANPDP.
Ensuite, assurez-vous que vos pratiques respectent la loi algérienne (heureusement assez alignée sur RGPD, donc si vous êtes déjà RGPD-compliant, c’est un bon point ; adaptez toutefois les mentions légales pour citer la loi 18-07 modifiée et prévoir les délais de notification de 5 jours, etc.).

3. Quelles données sont considérées comme “sensibles” et que faire si j’en traite ?

La loi qualifie de “données sensibles” celles qui révèlent l’origine raciale/ethnique, opinions politiques, convictions religieuses/philosophiques, appartenance syndicale, ou qui concernent la santé ou la vie sexuelle[13].
Cela inclut aussi les données génétiques et biométriques.
Leur traitement est en principe interdit sans conditions supplémentaires[78].
Si vous devez absolument en traiter (ex. données de santé de vos employés pour un programme santé), vous avez deux voies : obtenir le consentement explicite des personnes concernées, ou trouver une base légale d’intérêt public et demander une autorisation préalable à l’ANPDP[78].
D’autres exceptions existent (détaillées à l’article 18[270][271]) comme la sauvegarde de la vie d’une personne, les données rendues publiques par la personne, etc.
Concrètement, si vous traitez des sensibles, contactez le DPD et l’ANPDP en amont.
Exemples : pour installer un système biométrique d’accès, il faudra vraisemblablement une autorisation de l’ANPDP ou, à minima, le consentement de chaque employé + mesures de sécurité renforcées.

4. Devons-nous vraiment nommer un “Délégué à la protection des données” ? Qui peut occuper ce poste ?

Oui, depuis la loi 25-11 (juillet 2025), tous les responsables de traitement en Algérie doivent désigner un DPD/DPO[120].
Cela inclut les entreprises privées, les organismes publics, et mêmes les autorités compétentes (police, etc.).
Les seules exceptions : les juges dans l’exercice de leurs fonctions juridictionnelles, et possiblement les très petites structures (ce point n’est pas explicitement exempté dans la loi, donc par prudence on considère que même une petite entreprise doit en avoir un – ne serait-ce que le gérant lui-même comme DPD).
Le DPD doit avoir des compétences en droit et pratiques de la data[121].
En interne, vous pouvez nommer un cadre (DSI, juriste…) pour cumuler ce rôle, mais attention au conflit d’intérêt : idéalement il doit être indépendant (ne pas valider ses propres traitements). Souvent on choisit quelqu’un de la Direction Conformité ou Audit.
Vous pouvez aussi externaliser à un consultant ou avocat, notamment si vous n’avez pas les ressources pour un poste dédié.
Ce DPD externe doit être lié par un contrat de service.
Une même personne peut mutualiser le rôle pour plusieurs PME (la loi le permet pour entités proches ou petites[122]). Ce qui compte c’est d’avoir un référent identifié, dont le nom et contact sont communiqués à l’ANPDP et aux personnes sur demande.

5. Que risque personnellement le dirigeant en cas de non-conformité ?

Le dirigeant (gérant, DG) peut engager sa responsabilité pénale en tant qu’auteur ou complice des infractions de la loi. Par exemple, s’il “procède ou fait procéder à un traitement de données sans respect des conditions de l’article 12” (c’est-à-dire sans déclaration/autorisation requise), il encourt 2 à 5 ans de prison[101].
S’il continue un traitement malgré une opposition légitime ou après retrait par l’ANPDP, pareil. S’il refuse sciemment de coopérer aux injonctions, il y a un délit d’entrave (jusqu’à 2 ans de prison)[236].
Bien sûr, l’entreprise en tant que personne morale peut aussi être condamnée à des amendes, mais la loi vise explicitement “quiconque” pour la plupart des délits, donc c’est bien le responsable humain qui trinque (notamment sur les peines d’emprisonnement).
En pratique, on peut imaginer que pour une première infraction un dirigeant ne sera pas envoyé derrière les barreaux – il pourrait bénéficier d’une peine avec sursis, etc., s’il montre de la coopération.
Mais ce risque n’est pas théorique : la loi est là, et un procureur pourrait décider d’en faire un exemple si l’infraction est grave (ex. revente massive de données personnelles avec préjudice pour la population). En tant que dirigeant, prenez cela au sérieux : mettez en place la conformité, non seulement pour l’entreprise mais pour votre propre protection légale.

6. Nous conformer nous fera-t-il perdre du temps et de l’argent sans bénéfice ?

Au contraire, bien menée, la conformité apportera des bénéfices collatéraux. Certes, il y a un investissement initial (quelques jours-homme pour l’inventaire, éventuellement conseil juridique, formation du personnel, amélioration sécurité…).
Mais en retour :
– Vous réduisez le risque de fuites ou de cyberattaques, qui peuvent coûter bien plus cher (arrêt d’activité, rançon, etc.).
– Vous évitez des sanctions financières et pénales.
– Vous améliorez vos processus : par ex., nettoyer la base marketing des contacts inactifs non consentis va augmenter l’efficacité de vos campagnes (vous n’écrivez plus qu’à des prospects réellement intéressés).
– Côté image, être respectueux des données devient un argument : 87% des consommateurs disent accorder de l’importance à la protection de leurs données personnelles (chiffre global). C’est en train de se vérifier en Algérie aussi, surtout chez les jeunes connectés.
Donc vous gagnez la confiance client. – Enfin, vous anticipez l’avenir : d’autres réglementations sur la data (cybersécurité, IA) se profilent, en ayant déjà une gouvernance data vous serez plus prêts.

Pour minimiser les coûts, adoptez une approche “risque d’abord” : comblez les grosses failles (ex. chiffrement, arrêt du spam) puis améliorez progressivement.
Des guides et outils gratuits existent (l’ANPDP va sûrement publier des modèles, et la communauté DPO sur LinkedIn partage des ressources).
Voyez cela comme un investissement productif, pas comme une charge sèche.

7. Comment gérer les transferts de données à l’étranger (cloud, envoi au siège, etc.) de façon conforme ?

Les transferts internationaux sont un des sujets délicats. D’après la loi 25-11, tout transfert doit assurer un niveau de protection adéquat[159]. Tant que l’ANPDP n’a pas publié de liste de pays “adéquats”, il faut partir du principe qu’il faut soit :
Le consentement explicite des personnes pour le transfert (ex. informer vos utilisateurs que leurs données seront stockées sur un serveur en Europe et recueillir leur accord). C’est une option, mais l’ANPDP peut considérer que le consentement n’est pas suffisant si le risque est grand.
Des garanties contractuelles ou un accord international : par ex. signer avec le destinataire étranger des clauses contractuelles exigeant la confidentialité, permettant à la personne d’exercer ses droits, etc.
Ce n’est pas marqué tel quel dans la loi mais l’esprit y est (l’ANPDP vérifiera les “mesures de sécurité mises en place et l’existence d’une autorité de contrôle dans le pays destinataire”[160]). Donc, utilisez si possible des prestataires dans des pays qui ont une loi type RGPD ou Convention 108+ (ex. pays UE, Canada).
Autorisation de l’ANPDP : dans le doute, soumettez à l’ANPDP une demande d’autorisation de transfert en détaillant les précautions prises. Par ex. “Nous souhaitons héberger sur serveur en France, pays ayant une loi adéquate (RGPD) et avec qui nous avons un contrat assurant les obligations… Voici les mesures de chiffrement, etc. Merci de votre avis.”
L’ANPDP pourra formaliser une autorisation écrite ou au moins un avis consultatif.Gardez-en la trace pour vous couvrir.
Exceptions d’urgence : Si transfert nécessaire pour sauver des vies, pour un contrat avec la personne, etc., la loi le permet (notamment dans un contexte police/justice).
Mais pour les entreprises, c’est rare. Peut-être un transfert vers un service cloud pour sauvegarde vitale du système ? Difficile à justifier en ces termes, mieux vaut essayer de mettre un cadre.

En pratique, beaucoup d’entreprises migrent vers des solutions locales ou régionales.
Par exemple utiliser un data center en Algérie ou au moins au sein d’un groupe algéro-européen (certains DC en Europe du Sud pourraient être contractualisés via l’UE qui offre des garanties). On attend possiblement que l’ANPDP publie une liste blanche/rouge de pays, mais d’ici là, précaution maximale :
– privilégiez le local,
– ou si étranger, choisissez des prestataires certifiés (ISO 27001, etc.) et signez un Addendum de protection des données avec eux.
– Et mentionnez toujours dans votre notice d’information aux personnes que les données pourraient être transférées hors du pays (loi exige de le dire[272][103]). La transparence atténue le risque de reproche.

8. En cas de violation de données (ex. piratage), qu’est-ce qu’on doit faire concrètement ?

La loi est claire désormais : vous devez notifier l’ANPDP dans les 5 jours après avoir eu connaissance de la violation[191]. Donc dès que vous détectez un incident sérieux, démarrez le chrono. Préparez un courrier (ou email si l’ANPDP fournit un contact dédié) avec :
– description de la nature de la violation (ex. “base clients volée par ransomware”)[196],
– les conséquences potentielles (ex. “risque d’usurpation d’identité car données CI exposées”)[196],
– les mesures déjà prises ou en cours pour remédier (ex. “serveur isolé, enquête numérique en cours, renforcement du firewall, etc.”)[273].
Si vous n’avez pas tous les détails en 5 jours, faites une notification partielle puis complétez plus tard (c’est autorisé[197]). Si vous dépassez le délai, expliquez pourquoi (ex. incident découvert tardivement, ou effectifs en congé).
Parallèlement, si la fuite peut causer un préjudice élevé aux individus (ex. données de santé, financiers volées), vous devez avertir les personnes concernées sans délai[200], par un moyen approprié (email, SMS, courrier… selon ce que vous avez).
Message simple : ce qui s’est passé, quelles données sont impactées, ce que vous recommandez (ex. changer mot de passe, surveiller comptes), et vos coordonnées pour contact[200]. Exception : si informer les personnes risque de nuire à une enquête en cours ou à la sécu publique, l’ANPDP peut vous dire de ne pas le faire de suite[178].
Mais c’est plus valable pour police/justice. En entreprise, tarder à informer les clients peut générer de la méfiance, vaut mieux être transparent rapidement. Enfin, documentez tout l’incident dans un registre interne des violations[198] : dates, circonstances, actions. L’ANPDP peut le demander. Et bien sûr, corrigez la faille pour l’avenir (c’est attendu).
NB: N’oubliez pas aussi de vérifier vos obligations sectorielles : ex. un opérateur télécom doit notifier l’ARPCE, une banque doit notifier la Banque d’Algérie. Mais ces notifications s’ajoutent, ne remplacent pas celle à l’ANPDP.

9. Notre entreprise est déjà certifiée ISO 27001 (sécurité info). Est-ce suffisant pour être conforme ?

C’est un excellent point de départ, mais pas automatiquement suffisant. ISO 27001 garantit que vous avez un Système de Management de la Sécurité de l’Info (SMSI) robuste, donc sur la partie sécurité (article 38) et gestion des incidents, vous êtes largement en avance. Toutefois, la protection des données personnelles couvre aussi d’autres aspects que la norme ISO aborde moins :
Droits des personnes : ISO ne prévoit pas forcément comment vous gérez une demande d’accès ou d’opposition. Il faut s’assurer que vos procédures internes incluent cela (peut être intégré comme procédure du SMSI, mais souvent ce n’est pas d’office présent).
Consentement et base légale : ISO 27001 est neutre sur ce sujet. Il faut vérifier que pour chaque traitement vous avez bien un fondement légal (consentement ou autre) conforme à la loi.
Documentation légale : ISO vous fait documenter des politiques de sécurité, mais pas la politique de confidentialité destinée aux clients, ni les clauses contractuelles. Ce sont des éléments à ajouter.
DPD : ISO 27001 n’exige pas de DPO. Vous, la loi oui. Donc ayez ce délégué et suivez la loi sur ce point.
Registre des traitements : Ce n’est pas requis par ISO (qui inventorie surtout les actifs informationnels, pas forcément les traitements au sens RGPD). Assurez-vous de tenir le registre exigé par l’art. 41 bis 2[133][252]. – Transferts : ISO peut couvrir la classification des actifs et traitement des flux, mais ne décrète pas où doivent résider les données. Vous devrez évaluer la légalité des transferts, ce qui dépasse le cadre purement technique.

En somme, ISO 27001 vous donne une excellente posture sur sécurité et gestion du risque : l’ANPDP verra d’un bon œil que vous ayez cette certification, ça prouve une démarche sérieuse[2]. Mais il faut compléter par les volets juridiques et organisationnels spécifiques aux données personnelles (tout ce qu’un RGPD ou loi 18-07 exige). À ce titre, l’ISO a développé l’ISO 27701 qui étend 27001 pour couvrir précisément la gestion des données personnelles (c’est une sorte de “RGPD mode d’emploi” couplé au SMSI). Si vous visez une conformité exhaustive, obtenir ISO 27701 serait idéal. Sinon, combler manuellement les trous identifiés ci-dessus.

 

By |2025-08-13T21:20:10+02:00août 13th, 2025|Non classé|Commentaires fermés sur Loi 25-11 vs 18-07 : ce qui change pour les entreprises

About the Author:

Related Posts