Le 24 juillet 2025, l’Algérie a franchi une étape décisive dans le renforcement de la protection de la vie privée avec la promulgation de la loi n° 25-11, venue modifier et compléter la loi n° 18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel. Entrée en vigueur immédiatement après sa publication au Journal Officiel, cette réforme marque un tournant important en instaurant un encadrement plus rigoureux, une supervision renforcée et de nouvelles obligations tant pour les acteurs publics que privés.
Ce texte apporte des définitions précises de notions jusqu’ici peu ou mal encadrées : données biométriques, pseudonymisation, profilage, violation de données... En intégrant ces éléments à l’article 3, la loi gagne en clarté.
Dans le même élan, la loi définit aussi les limites de son propre champ d’application : les données relatives à la défense et à la sécurité nationales sont désormais explicitement exclues, comme le précise l’article 6.
Pour rapprocher le contrôle des réalités du terrain, la loi prévoit la création de pôles régionaux de l’Autorité nationale de protection des données personnelles (ANPDP), via l’article 27 bis. Ces pôles auront pour mission de contrôler, mais aussi d’accompagner les organismes dans leur mise en conformité. Les modalités de fonctionnement seront définies par voie réglementaire.
Autre nouveauté majeure, l’obligation de désigner un Délégué à la protection des données (DPD), ou DPO dans le langage international, un professionnel compétent, chargé de veiller au respect de la loi, de conseiller les équipes, de superviser les audits internes et de faire le lien avec l’ANPDP. Ce rôle devient un pilier central dans la gouvernance des données (articles 41 bis et 41 bis 1).
Dans la continuité de cette logique de responsabilisation, les responsables de traitement, tout comme les sous-traitants, doivent désormais tenir un registre clair des activités de traitement, ainsi qu’un carnet automatisé retraçant les opérations effectuées sur les données (accès, modification, suppression, etc.). Ces documents doivent être disponibles à tout moment pour contrôle, que ce soit sous format papier ou électronique (articles 41 bis 2 et 41 bis 3).
Mais c’est sans doute la création d’un nouveau Titre V bis qui marque le tournant le plus significatif de cette réforme. Ce titre introduit un régime spécifique pour les traitements de données effectués à des fins de prévention, d’enquête, de poursuite ou d’exécution de sanctions pénales. Ce type de traitement ne pourra être effectué que par des acteurs légalement habilités : justice, police, administration pénitentiaire, etc. Et surtout, ces traitements pourront être réalisés sans le consentement des personnes concernées, dans la limite stricte du cadre légal.
Les personnes concernées conservent cependant leurs droits classiques (accès, rectification, opposition). La loi prévoit que ces droits peuvent être restreints, différés ou suspendus si cela est justifié par des impératifs de sécurité ou d’enquête. En cas de refus ou de limitation, le responsable du traitement devra en informer la personne concernée, tout en lui rappelant son droit à saisir l’ANPDP ou la justice.Il est également prévu que ces droits puissent être exercés par l’intermédiaire de l’ANPDP.
La loi impose par ailleurs, avant tout traitement sensible, la réalisation d’une étude d’impact sur la vie privée (DPIA). Ce travail de fond permet d’identifier les risques, d’en mesurer les conséquences potentielles et de définir les mesures de sécurité à mettre en place. En cas de violation le responsable du traitement est tenu de notifier l’ANPDP dans un délai maximal de cinq jours, ainsi que la personne concernée, si le risque est jugé élevé – sauf si cette notification devait compromettre une enquête ou la sécurité nationale.
Enfin, la loi encadre les transferts internationaux de données. Ceux-ci ne sont autorisés que si le pays de destination garantit un niveau de protection équivalent. Tout sous-transfert est interdit sans accord préalable du pays d’origine, sauf en cas d’urgence ou de nécessité vitale.
En conclusion, La mise en conformité ne doit pas être perçue comme une contrainte, mais comme un levier de performance, de transparence et de confiance. Face à ces exigences croissantes, les organisations ont tout intérêt à s’entourer de profils compétents et à s’équiper d’outils adaptés, capables de traduire les obligations légales des lois 18-07 et la 25-11 en actions concrètes, structurées et mesurables.
C’est précisément dans cette optique que s’inscrit notre solution Inovaguard Compliance. Elle accompagne les entités publiques et privées dans leur démarche de conformité, tout en assurant la protection effective des données à caractère personnel et la maîtrise des risques associés.
