قانون 25-11 في الجزائر: DPO إلزامي، DPIA ضرورية، وتشديد على نقل البيانات

1. السياق العام وتجديد القانون

القانون 18‑07 لي صدر عام 2018، الهدف منو هو حماية الحقوق تاع الأفراد وقت معالجة بياناتهم الشخصية، خاصة كي تكون حساسة (معلومات طبية، بيومترية، أو ذات طابع اجتماعي).
القانون يطبق على كل المؤسسات اللي تعالج بيانات تخص جزائريين، سواء كانت داخل الجزائر أو تستعمل أدوات رقمية خارجية كيما Google Workspace أو Zoom.

في 24 جويلية 2025، الدولة أصدرت القانون 25‑11 لتعديل وتقوية هذا الإطار. الجديد في هاد النص هو فرض إجراءات عملية ومُلزمة: تعيين DPO، إعداد DPIA قبل المعالجة، تنظيم سجلات دقيقة، وضبط صارم لتحويل البيانات نحو الخارج.

anpdp

2. جدول المصطلحات (فرنسي / إنجليزي / عربي)

العربيةFrançaisEnglishالشرح
المكلّف بحماية البياناتDélégué à la Protection des Données (DPD)Data Protection Officer (DPO)شخص داخل المؤسسة يراقب احترام قوانين حماية البيانات، ويتواصل مع الهيئة
تحليل الأثر على حماية البياناتAnalyse d’Impact sur la Protection des Données (AIPD)Data Protection Impact Assessment (DPIA)إجراء إلزامي لتقييم المخاطر قبل معالجة بيانات حساسة
الهيئة الوطنية لحماية البياناتAutorité Nationale de Protection des DonnéesNational Data Protection Authority (NDPA / ANPDP)الجهة الرسمية المسؤولة على تطبيق القانون وتلقي التصريحات

3. المصطلحات القانونية الجديدة

المادة 3 معدّلة (Article 3 modifiée)

قانون 25‑11 زاد مجموعة تعريفات قانونية واضحة، باش يخلي النص مفهوم أكثر خاصة في ظل التطورات التكنولوجية. هاد التعريفات أساسية في كل عملية تقييم مخاطـر، تعاقد، ولا امتثال.

Biometric Data (البيانات البيومترية):
معلومات ناتجة عن خصائص فزيولوجية أو سلوكية يمكن تمييز الفرد بها، مثل: البصمة، صورة الوجه، نبرة الصوت، مشية الشخص، نبض القلب…

Biometricds

Profiling (الملف التعريفي):
معالجة آلية للبيانات بهدف تحليل أو توقع سلوك شخص ما. مثال: التصنيف حسب الأداء، تتبع المواقع، توقع القدرة الشرائية…

Profiling

Pseudonymisation (التقنيع):
تقنية قانونية وأمنية يتم فيها تعويض هوية الشخص بمعرف مستعار. الفرق عن anonymisation هو أن التقنيع يسمح باسترجاع الهوية الأصلية بمفتاح داخلي محمي.

Pseudonymization

International Organisation (منظمة دولية):
أي هيئة خارجية لها شخصية قانونية، وتُستعمل كمستقبِل للبيانات أو شريك في المعالجة، مما يدخل في سياق نقل البيانات نحو الخارج.

International Org

4. تعيين DPO

المادة 41 مكرر (Article 41 bis)

Dpo1
Dpo2

كل مؤسسة، سواء كانت حكومية، خاصة أو أجنبية تعمل في الجزائر، مجبرة قانونياً على تعيين Data Protection Officer يكون عنده كفاءة قانونية وتقنية.

المهام الأساسية لـ DPO:

  • تقديم النصائح والتوجيهات للإدارة بخصوص حماية البيانات
  • مراقبة مدى الامتثال داخل المؤسسة
  • الإشراف على كل DPIA
  • تمثيل المؤسسة أمام ANPDP

5. إلزامية إجراء DPIA

المادة 35 مكرر (Article 35 bis)

القانون يفرض على المؤسسات إجراء Data Protection Impact Assessment قبل إطلاق أي معالجة تعتبر عالية الخطورة، خاصة:

  • المعالجة البيومترية
  • أنظمة الفيديو والمراقبة
  • قواعد بيانات صحية
  • بيانات الموظفين أو الأطفال
Dpia

6. السجل الإجباري للمعالجات

المادة 34 معدلة (Article 34 modifiée)

كل مؤسسة مطالبة بالاحتفاظ بسجل رسمي (Registre de traitement) فيه:

  • الغرض القانوني
  • نوع البيانات والأشخاص المعنيين
  • مدة الاحتفاظ
  • التدابير الأمنية
  • نقل البيانات إلى الخارج إن وُجد

7. تنظيم نقل البيانات نحو الخارج

المادة 47 مكرر (Article 47 bis)

كل عملية تحويل بيانات خارج الجزائر لازم تخضع لـ:

  • ترخيص مسبق من ANPDP
  • عقد حماية بيانات واضح
  • تقييم مستوى الحماية في البلد المستقبل
  • إعلام الأشخاص المعنيين بالمعالجة
Verslertranger

8. المعالجة من طرف الجهات الأمنية والقضائية

Titre VII bis (الفصل السابع مكرر)

القانون خصص فصلاً خاصاً بمعالجة البيانات من طرف أجهزة الأمن والقضاء، بشروط استثنائية تسمح بتقييد بعض الحقوق مؤقتاً (كالاطلاع والتصحيح) لحماية سير التحقيقات.

Armee
Aremee2

9. العقوبات

  • غرامات مالية من 20 ألف حتى مليون دينار
  • عقوبات بالسجن تصل إلى 5 سنوات في حالات تسريب أو معالجة بدون تصريح

10. خطوات عملية للمؤسسات

المرحلة الأولى – التحضير:

  • تعيين DPO
  • إجراء cartographie
  • إعداد سجل المعالجات

المرحلة الثانية – التطبيق:

  • إجراء DPIA
  • تكوين الفريق
  • مراجعة كل أدوات المعالجة

المرحلة الثالثة – المراقبة:

  • تدقيق داخلي
  • تقارير امتثال
  • استعداد للتفتيش من ANPDP

11. الخاتمة – رأيي الشخصي

بكل صراحة، قانون 25‑11 راهو علامة على تبدّل كبير فطريقة تعامل الدولة مع البيانات.
ماشي قانون باش “يكمّلو بيه ملفاتهم” ولا يدار في الرفوف، بل هو رسالة واضحة:
اللي ما يحميش بيانات الناس، راح يواجه المسؤولية القانونية، التقنية، وحتى الأخلاقية.

أنا نشوف بلي أكبر خطر اليوم ماشي الهجمات الإلكترونية، بل الإهمال الداخلي.
مؤسسات تلمّ البيانات، ما تعرفش حتى علاش جمعتها، وين راهي، ولا مع من راهي مشاركة.

DPO ماشي منصب فخري. هو الضامن لتوازن المؤسسة بين التوسع الرقمي والاحترام الفعلي لحقوق الناس.
DPIA ماشي ورقة تكميلية، بل هي العدسة اللي تشوف بيها مخاطر قبل ما تولي واقع.

إذا كنت صاحب شركة، أو خدام فـ IT، أو مسؤول موارد بشرية… لازم تفيق قبل ما ANPDP تفيّقك.
مشروع بلا امتثال اليوم، هو مشروع معرض للسقوط غدوة.

الخلاصة؟
الامتثال ماشي كلفة… الامتثال هو ثقة.

12. المراجع القانونية

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *