Analyses & décryptages

Protection des données personnelles : focus sur la réglementation algérienne

Analyses & décryptages

Expertise principale

Bureau

Face à la place centrale occupée par le numérique, tant dans l’activité économique que dans la vie quotidienne, l’Algérie s’est dotée d’un cadre juridique structuré favorable à la protection des données personnelles et, fondé sur une approche garantissant aux individus un contrôle sur l’usage de leurs données.

Ce cadre légal est principalement défini par la Loi n°18‑07 du 10 juin 2018 relative à la protection des personnes physiques dans le traitement des données à caractère personnel, laquelle loi a été modifiée et complétée par la Loi n° 25-11 du 24 juillet 2025 (la « Loi 18-07 »).

Après une phase de mise en conformité, cette règlementation connaît aujourd’hui une mise en œuvre effective, marquée notamment par la publication des premières délibérations de l’Autorité Nationale de Protection des Données à caractère Personnel (« ANPDP »), laquelle est pleinement opérationnelle depuis août 2023.

Au regard de son importance et de sa portée, cette réglementation doit être intégrée par tous les opérateurs économiques intervenant, ou souhaitant intervenir, sur le marché algérien.

  • Un cadre légal structuré et efficient

 La Loi 18‑07 fixe les règles applicables à tout traitement de données personnelles, lequel traitement doit se faire « dans le cadre du respect de la dignité humaine, de la vie privée, des liberté publiques et ne doit pas porter atteinte aux droits des personnes, à leur honneur et à leur réputation » (Article 2).  

 A cette fin, la Loi consacre plusieurs principes fondamentaux pour le traitement des données personnelles : ce traitement doit être licite et loyal, avoir une finalité déterminée, respecter la proportionnalité des données collectées et, assurer leur sécurité et confidentialité. Elle garantit également aux personnes concernées le respect d’un certain nombre de droits : droit à l’information, droit d’accès, droit de rectification, droit d’opposition.

Plus largement, le principe du « consentement préalable » est au centre de la réglementation algérienne : le traitement des données à caractère personnel ne peut être effectué qu’avec le consentement exprès de la personne concernée (Article 7 de la Loi 18-07). Ce dernier ne connaît que des exceptions limitées (obligation légale, sauvegarde de la vie ou des intérêts vitaux de la personne concernée, exécution contractuelle, réalisation d’une mission d’intérêt public ou d’un intérêt légitime).

En application de ce principe, la Loi 18-07 interdit la prospection commerciale directe, par tout moyen, utilisant les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable.

Ce cadre légal s’applique, à titre principal, aux opérateurs publics et privés, personnes physiques ou morales, (i) qui exercent une activité sur le territoire algérien sous quelque forme que ce soit (société, établissement stable…) ou, (ii) qui, sans être établis sur le territoire algérien, recourent à des moyens automatisés situés en Algérie pour traiter des données personnelles.

La Loi 18-07 encadre par ailleurs strictement le transfert à l’étranger des données personnelles collectées, en soumettant notamment un tel transfert à l’autorisation préalable de l’ANPDP, sauf exceptions expressément listées par la Loi.

Le respect des dispositions de la Loi 18‑07 est sanctionné pénalement par des peines pouvant aller jusqu’à cinq (5) ans d’emprisonnement et une amende de 500.000 dinars algériens, selon les infractions.

La Loi n° 25‑11 du 24 juillet 2025 est enfin venue renforcer significativement le cadre légal existant en introduisant de nouvelles obligations et en modernisant certains concepts :

  1. Modernisation des notions juridiques: La Loi n° 25-11 a introduit notamment les notions de données biométriques, de profilage, de pseudonymisation et de violation de données personnelles.
  2. Renforcement des obligations des responsables de traitement: Les entreprises doivent désormais mettre en place des outils structurants de conformité, incluant un registre des activités de traitement et, un carnet automatisé des opérations permettant d’assurer la traçabilité des traitements. Ces éléments doivent être tenus à disposition de l’ANPDP sur demande.
  3. Renforcement du rôle de l’ANPDP: L’ANPDP dispose désormais de moyens renforcés de contrôle et d’audit, notamment à travers la création de pôles régionaux et l’élargissement de ses missions.
  • Une autorité nationale pleinement opérationnelle

L’ANPDP constitue l’interlocuteur premier et central des opérateurs en matière de protection des données.

A ce titre, tout traitement de données personnelles est soumis à une déclaration préalable auprès de l’ANPDP, et même à une autorisation préalable de ladite autorité dès lors que le traitement envisagé « présente des dangers manifestes pour le respect et la protection de la vie privée et des libertés et droits fondamentaux des personnes ».

Dans ce cadre, les responsables de traitement des opérateurs visés doivent créer un compte sur la plateforme en ligne de l’ANPDP, sur lequel ils procèdent à leurs déclarations de traitement et déposent, le cas échant, leurs demandes d’autorisation.

Ils doivent également désigner un délégué à la protection des données (DPO), dont les coordonnées sont communiquées à l’ANPDP et, qui constitue le point de contact avec cette dernière.

La mise en conformité des opérateurs implique en pratique une double démarche, combinant une phase dématérialisée via le compte en ligne créé par le responsable de traitement et, une phase physique consistant en le dépôt des déclarations ou des demandes d’autorisation au siège de l’ANPDP à Alger.

 Depuis son installation, l’ANPDP a adopté plusieurs délibérations qui sont venues préciser de manière concrète les modalités de mise en œuvre de la réglementation dans plusieurs secteurs :

  1. Délégué à la protection des données (Décision n° 01 du 24 décembre 2025) : Par cette délibération, l’ANPDP précise le rôle du délégué à la protection des données (DPO), qui est au cœur du dispositif de conformité.
  2. Données de santé (Décision n° 01 du 25 février 2026) : L’ANPDP considère que les résultats d’analyses médicales négatives attestant l’absence de consommation de drogues ou de substances psychotropes dans le cadre d’un recrutement constituent des données de santé et, sont soumis au régime de déclaration auprès de l’ANPDP et à une durée de conservation limitée à trois (3) mois.
  3. Vidéosurveillance au travail (Décision n° 02 du 4 mars 2026) : Au titre de cette délibération, l’ANPDP encadre strictement l’usage de la vidéosurveillance, en imposant notamment une déclaration préalable, une finalité limitée à la sécurité des personnes et des biens, ainsi que des obligations de transparence et de sécurité.
  4. Données biométriques – contrôle de présence (Décision n° 03 du 6 mai 2026) : L’ANPDP encadre par cette délibération l’utilisation des dispositifs biométriques pour le contrôle de la présence au travail. L’ANPDP considère ainsi que ces données constituent des données personnelles dont le traitement est admis en matière de gestion des ressources humaines, sous réserve, d’une part, de l’autorisation préalable de l’ANPDP et, d’autre part, du respect des obligations d’information, de sécurité et de confidentialité. En revanche, leur traitement ne requiert pas le consentement préalable des salariés concernés. La durée de conservation est limitée à la durée de la relation de travail.

Ces décisions confirment la volonté des autorités algériennes de donner un champ d’application relativement large à la réglementation issue de la Loi 18-07 et ainsi, de retenir une approche protectrice des individus dans le cadre du traitement de leurs données personnelles.

Contacts