Le cadre légal de la protection des données au Maroc

Au Maroc, la protection des données personnelles est régie par la loi 09-08 promulguée en 2009 et son décret d’application 2-09-165. La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) est l’autorité de supervision.

Avec le déploiement croissant de systèmes d’IA qui traitent des données personnelles, la conformité à cette loi n’est plus optionnelle.

Principes fondamentaux de la loi 09-08

Finalité déterminée : toute collecte de données doit avoir un objectif précis et légitime. Vous ne pouvez pas collecter des données « au cas où » pour une future utilisation IA.

Consentement préalable : le traitement de données personnelles nécessite le consentement informé de la personne concernée. Pour les systèmes IA, ce consentement doit mentionner explicitement l’utilisation algorithmique.

Proportionnalité : ne collectez que les données strictement nécessaires à votre finalité. Un système IA de recommandation n’a pas besoin d’accéder à l’historique médical des utilisateurs.

Sécurité : vous devez mettre en place des mesures techniques et organisationnelles pour protéger les données. Les modèles IA entraînés sur des données sensibles sont particulièrement exposés.

Droit d’accès et de rectification : tout citoyen marocain peut demander à voir et corriger ses données. Vos systèmes IA doivent permettre cette traçabilité.

Obligations spécifiques pour les systèmes IA

La CNDP a émis des recommandations sur l’IA en 2024 :

• Déclaration préalable pour tout traitement automatisé incluant des décisions impactant des personnes (scoring, profilage, recommandations personnalisées)
• Autorisation spéciale pour les traitements sensibles (santé, biométrie, données financières)
• Interdiction de prises de décision entièrement automatisées sans possibilité de recours humain pour les décisions importantes

Bonnes pratiques de conformité IA

1. Privacy by Design : intégrer la protection des données dans la conception de votre système IA, pas en post-production
2. Anonymisation vs pseudonymisation : distinguer les deux approches — l’anonymisation irréversible exclut les données du champ de la loi
3. Registre des traitements : documenter tous vos traitements IA avec finalité, données utilisées, durée de conservation
4. DPO ou référent données : nommer un responsable protection des données dans votre organisation

Ce qui change avec l’AI Act européen

Le Maroc observe de près l’AI Act européen entré en application en 2025. Comme la loi 09-08 s’inspire du RGPD, il est probable qu’un cadre marocain spécifique à l’IA soit adopté dans les 2-3 prochaines années, reprenant les principes de classification des risques IA.

Mohammed TETO accompagne les entreprises marocaines dans la mise en conformité de leurs projets IA avec la réglementation locale — audit, documentation et formation des équipes.

Conformité IA & CNDP pour entreprises marocaines : mohammedteto.com

protection des données : application concrète et critères de réussite

Pour obtenir un résultat durable, le sujet protection des données doit être traité comme un système complet : intention de recherche, preuves d’expertise, exemples terrain, maillage interne, données structurées et clarté éditoriale. Cette approche aide à être mieux compris par Google, mais aussi par les moteurs IA et les LLMs qui synthétisent les réponses à partir d’entités fiables.

La priorité consiste à relier chaque recommandation à un besoin métier : gagner du temps, augmenter la qualité des leads, réduire les frictions commerciales ou rendre l’entreprise plus visible sur ses requêtes stratégiques. Un contenu utile sur protection des données doit donc répondre aux objections, montrer des cas d’usage et expliquer comment mesurer le ROI.

Pour compléter ce travail, il est utile de suivre les bonnes pratiques officielles de documentation et d’indexation, notamment les ressources de Google Search Central. Mohammed TETO accompagne cette logique avec une méthode orientée IA, SEO, AIO et GEO afin de transformer chaque article en actif d’autorité.