Menu

Chargement des résultats

Revue des principales mesures de la loi n°25-11 du 24 juillet 2025
Plusieurs personnes dans un bureau
  • Publication
  • 8 minutes de lecture
  • 24 juil. 2025

L'équipe du bureau de PwC Algérie a le plaisir de partager un résumé des principales mesures introduites par la loi n°25-11 modifiant et complétant la loi n°18-07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel.

Notre équipe vous souhaite une bonne lecture et reste, bien entendu, disponible pour toute information complémentaire.

Eléments de contexte

L’Algérie poursuit sa dynamique de mise à niveau de son cadre juridique en matière de protection des données personnelles, dans une optique de convergence vers les standards internationaux, notamment ceux issus du Règlement général sur la protection des données (RGPD) de l’Union européenne. 

Dans ce contexte, la loi n° 25-11 du 24 juillet 2025 (ci-après la « Loi »), modifie et complète la loi n° 18-07 du 10 juin 2018 (ci-après la « Loi 18-07 »), introduisant des avancées significatives tant sur le plan des droits des personnes concernées que des obligations des responsables de traitement et des autorités publiques. 

Introduction des définitions : 

La loi 25-11 introduit plusieurs définitions nouvelles à l’article 3, facilitant l’interprétation et l’application des dispositions : 

  • Données biométriques : « données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique ». Cette définition permet d’identifier clairement notamment l’empreinte biométrique ou faciale comme une donnée à caractère personnel, ce qui n’était pas explicitement mentionné dans la Loi 18-07.  
  • Profilage : « toute forme d’utilisation des données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts personnels, la fiabilité, le comportement, la localisation ou les déplacements de cette personne ».
    Sont inclus les dispositifs de géolocalisation GPS installés par les entreprises dans les véhicules de service afin d’assurer le suivi de leur position. 
  • Pseudonymisation : « traitement des données à caractère personnel de telle manière qu’elles ne puissent désormais être attribuées à une personne concernée sans recourir à des informations supplémentaires ».
    Ce processus consiste notamment à chiffrer les données directement identifiantes, telles que le nom de famille, en les remplaçant par des informations indirectement identifiantes, telles qu’un numéro d’identification. 
  • Autorité compétente : « toute autorité publique compétente en matière de prévention et de détection des infractions, d’investigations, d’enquête et de poursuites, ainsi que d’exécution et d’application des peines, ou tout organisme ou entité jouissant des prérogatives de puissance publique et exerçant des pouvoirs de la force publique à des fins de prévention et de détection des infractions, d’investigations, d’enquête, de poursuites pénales, d’exécution et d’application des peines » ; 
  • Violation des données à caractère personnel : « toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, la modification, la divulgation ou l'accès non autorisés aux données à caractère personnel transmises, conservées ou traitées d'une autre manière »
    Cette définition réaffirme également l'exigence de mettre en œuvre des mesures de sécurité adéquates afin de prévenir toute violation de la sécurité des données à caractère personnel. 
  • Organisation internationale : « toute entité et ses organes affiliés régis par le droit international public, ou tout autre organisme créé par un accord entre deux Etats ou plus, ou en vertu d'un tel accord. ». 

Renforcement des mécanismes de gouvernance et de contrôle  

La Loi prévoit la mise en place de pôles régionaux au sein de l’Autorité Nationale de la protection des données à caractère personnel (ci-après l’«ANPDP »), chargés d’assurer le contrôle et l’audit des institutions et des personnes traitant des données à caractère personnel dont les conditions et les modalités d’applications seront fixées par voie réglementaire. 

Obligation de désignation d’un délégué 

La Loi prévoit qu'un délégué à la protection des données doit être désigné par chaque responsable de traitement. Ce délégué qui devient donc le point focal avec l’autorité national, aura pour mission notamment : 

  • D’informer et conseiller le responsable du traitement et les personnels en charge du traitement sur les obligations légales, 
  • De contrôler le respect de la loi et des procédures internes ainsi que veiller à la sensibilisation et la formation des personnels en charge du traitement. 
  • De fournir des conseils, en ce qui concerne l’analyse de l’impact du traitement sur la protection des données à caractère personnel et de surveiller sa mise en œuvre. 

Ce descriptif des fonctions rappelle l’obligation d’établir des procédures internes pour la protection des données personnelles, comprenant la mise en place de formations, la réalisation d’audits internes et, lorsque cela s’avère nécessaire, l’analyse de l’impact des traitements. 

Le délégué à la protection des données doit être choisi en fonction de ses qualifications professionnelles, en particulier sa connaissance approfondie du droit et des pratiques liées à la protection des données. 

Il convient également de préciser que l’ANPDP propose sur son site internet un modèle indicatif pour la nomination d’un délégué à la protection des données. Ce modèle vise à faciliter et à uniformiser la désignation, mais il n’est pas obligatoire et doit être adapté à chaque organisme. 

Obligation de tenue des registres et carnets de traitement 

Conformément à l’article 4, la Loi impose au responsable du traitement ainsi qu’à son sous-traitant une obligation de tenir à jour les deux éléments suivants, lesquels doivent être mis à la disposition de l’ANPDP sur demande : 

  • Un registre d’activités de traitement, au format papier ou électronique, comprenant les coordonnées du responsable et de son délégué, les finalités et bases juridiques du traitement, les catégories de destinataires (y compris à l’étranger), une description des personnes et données concernées, les délais prévus pour l’effacement des données, ainsi qu’un aperçu des mesures de sécurité mises en œuvre. 
  • Un carnet automatisé des opérations de traitement des données à caractères personnelles permettant d’identifier les opérations de collecte, modification, consultation, transmission, suppression notamment. Ce carnet automatisé permet de tracer les opérations, en indiquant leurs motifs, dates, heures, ainsi que l'identité des utilisateurs et des destinataires lorsqu'elle est disponible. 

Ce carnet permet exclusivement de vérifier la légalité, contrôler l’intégrité et la sécurité des données, et répondre aux besoins des procédures pénales. 

Encadrement des traitements des données à caractère personnel pour la prévention, la détection et la répression des infractions 

La Loi a encadré le traitement des données à caractère personnel, à des fins de prévention et de détection des infractions, d’investigations, d’enquêtes, de poursuites pénales, d’exécution et d’application des peines, réservé, chacun dans les limites de ses compétences légales, aux : 

  • autorités judiciaires,  
  • services et organisme légalement habilité à rechercher et identifier les infractions,  
  • auxiliaires de justice (selon leurs missions) 
  • administration pénitentiaire  

Ce traitement est dispensé de l’obligation d’obtenir le consentement préalable de la personne concernée, sans pour autant supprimer, sauf dans certains cas, son droit à l’information, d’accès et de rectification. 

Cependant, l’exemption de consentement ne signifie pas absence de contrôle.  

L’Autorité nationale de protection des données personnelles joue un rôle essentiel dans la vérification et l’évaluation de ces traitements et peut également être consulté directement par la personne concernée. 

Par ailleurs, les obligations du responsable du traitement sont précisées à l’article 45 bis 3. Celui-ci doit distinguer clairement, dans la mesure du possible, les différentes catégories de personnes concernées. 

De plus, tout transfert de données vers un pays étranger ou une organisation internationale est soumis à une évaluation rigoureuse par l’autorité compétente. Cette évaluation porte sur le niveau de protection offert par le pays ou l’organisation destinataire, en tenant compte du respect des droits de l’Homme, des garanties juridiques applicables, des mesures de sécurité en place. 

Gestion des violations et étude d’impact 

Dans le cadre notamment de la prévention, la détection et la répression des infractions, lorsqu’un traitement de données personnelles, notamment via de nouvelles technologies, est susceptible de présenter des risques élevés pour les droits et libertés des personnes, le responsable du traitement doit réaliser une étude d’impact préalable des opérations de traitement à effectuer sur les données à caractères personnelles. 

Cette étude doit inclure : 

  • Une description générale des opérations de traitement. 
  • Une évaluation des risques pour les personnes concernées. 
  • Les mesures envisagées pour atténuer ces risques. 
  • Les garanties, mécanismes et dispositifs de sécurité assurant la protection des données. 
  • La preuve du respect de la loi, en tenant compte des droits et intérêts légitimes des personnes concernées. 

Concernant le dispositif de sécurité, le responsable du traitement ou le sous-traitant doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour prévenir toute violation des données personnelles. 

Ces mesures doivent garantir un niveau de sécurité adapté, notamment pour les données sensibles ou biométriques, en tenant compte : 

  • De l’état des connaissances 
  • Du coût de mise en œuvre 
  • De la nature, de la portée, du contexte et des finalités du traitement. 

En cas de violation de données à caractère personnel, le responsable du traitement doit notifier l’ANPDP dans un délai maximal de 5 jours après en avoir eu connaissance et accomplir les formalités requises. 

L’ANPDP, qui pourra établir une liste des traitements, peut également être consultée en amont pour les traitements présentant un risque résiduel important. 

Enfin, l’ANPDP a récemment mis en ligne une page dédiée aux réclamations, recours ou plaintes à l’adresse suivante : https://plaintes.anpdp.dz/

En conclusion, cette réforme de la Loi représente une avancée significative dans l’actualisation du cadre juridique algérien relatif à la protection des données à caractère personnel, poursuivant l’objectif d’assurer la sauvegarde des droits et libertés fondamentaux des personnes concernées, tout en assurant la sécurité. 

Suivez-nous

Contactez-nous

Nijma Kebaili

Nijma Kebaili

Directrice Conseil en Investissement, PwC Algérie

Email
Hide

© 2013 - 2026 PwC. PricewaterhouseCoopers France et Maghreb. Tous droits réservés "PwC" fait référence au réseau PwC et/ou à une ou plusieurs de ses entités membres, dont chacune constitue une entité juridique distincte. Pour plus d'information, rendez-vous sur le site www.pwc.com/structure