Accueil Conformité IA au Maroc
⚖️ Conformité & Gouvernance IA

L'IA est puissante —
encore faut-il la déployer
dans les règles

Loi 09-08, CNDP, registre de traitement, analyse d'impact : je vous accompagne pour déployer l'IA en conformité avec le cadre légal marocain, sans ralentir votre transformation.

Voir la checklist →
⚠️
Attention : Toute entreprise marocaine déployant un système IA qui traite des données personnelles (clients, employés, prospects) est soumise à la loi 09-08 et aux décisions de la CNDP. Le non-respect peut entraîner des sanctions pénales jusqu'à 1 000 000 MAD. La mise en conformité n'est pas optionnelle.
Checklist réglementaire

Les obligations concrètes
de l'IA au Maroc

Un état des lieux des exigences applicables aux systèmes IA déployés par des entreprises marocaines, classées par source réglementaire.

Bonne pratique recommandée
Obligation à vérifier
Obligation légale stricte
📋

Loi 09-08 — Obligations de base

Loi 09-08
Déclaration / autorisation CNDP — Tout traitement de données personnelles par un système IA doit être déclaré ou autorisé avant mise en production.
Finalité explicite et limitée — L'IA ne peut traiter des données que pour les finalités déclarées. Toute réutilisation non prévue est illicite.
Consentement des personnes concernées — Les individus dont les données alimentent l'IA doivent être informés et avoir consenti (sauf exceptions légales).
Durée de conservation définie — Les données utilisées par l'IA doivent être supprimées après la durée nécessaire à la finalité déclarée.
Droit d'accès et de rectification — Toute personne peut demander l'accès à ses données traitées par votre système IA et en exiger la correction.
🏛️

CNDP — Décisions & autorisations

CNDP
Données sensibles = autorisation préalable — IA traitant données de santé, biométrie, origine ethnique, convictions politiques ou religieuses : autorisation CNDP obligatoire avant tout déploiement.
Transfert international de données — Tout envoi de données marocaines vers un pays tiers (cloud AWS USA, Azure, etc.) nécessite une décision de la CNDP sur l'adéquation du niveau de protection.
Délégué à la Protection des Données — Recommandé pour toute entreprise traitant des données à grande échelle. La CNDP encourage sa désignation.
Déclaration des violations de données — En cas de fuite de données alimentant un système IA, notification de la CNDP et des personnes concernées recommandée.
🤖

Gouvernance IA — Bonnes pratiques

IA Act / Best Practice
Analyse d'impact (DPIA) — Obligatoire pour IA à haut risque (scoring crédit, profilage RH, surveillance). Documente les risques et mesures d'atténuation.
Registre des traitements IA — Inventaire documenté de chaque système IA : données traitées, finalité, durée, mesures de sécurité, sous-traitants.
Explicabilité des décisions automatiques — Toute décision prise par un système IA (refus de crédit, score candidat) doit pouvoir être expliquée et contestée.
Audit biais algorithmiques — Vérification régulière que l'IA ne discrimine pas sur la base du genre, de l'origine ou d'autres critères protégés.
Privacy by Design — Intégrer la protection des données dès la conception du système IA, pas en correction a posteriori.
🔒

Sécurité des données IA

Loi 09-08 + CNDP
Mesures de sécurité appropriées — Chiffrement des données, contrôle d'accès, journalisation des accès aux données personnelles traitées par l'IA.
Contrats de sous-traitance conformes — Si un prestataire IA (OpenAI, Google, AWS) traite vos données, le contrat doit inclure les clauses de protection exigées par la loi 09-08.
Pseudonymisation / anonymisation — Utiliser des données anonymisées pour entraîner les modèles IA réduit considérablement le risque réglementaire.
Tests de pénétration — Audits de sécurité réguliers sur les systèmes IA qui traitent des données personnelles sensibles.
Livrables concrets

Ce que vous recevez
à l'issue de l'accompagnement

Des modèles et frameworks opérationnels pour structurer votre démarche — à valider avec votre conseil juridique ou DPO avant soumission à la CNDP.

Note : Ces livrables constituent un accompagnement opérationnel et technique, et ne remplacent pas l'avis d'un avocat ou d'un juriste qualifié. Pour toute soumission officielle à la CNDP ou signature de documents contractuels, consultez un conseil juridique compétent.

📁
Registre des traitements IA
Inventaire structuré de chaque traitement IA : données, finalité, durée, responsable, mesures de sécurité
📄
Trame de déclaration CNDP
Structure et éléments de contenu pour votre dossier de déclaration CNDP — à finaliser avec votre conseil juridique avant soumission
🔍
Analyse d'impact (DPIA)
Évaluation des risques du système IA sur la vie privée, mesures d'atténuation documentées
📝
Modèle de politique de confidentialité IA
Trame structurée alignée sur les exigences de la loi 09-08 — à adapter et valider par votre conseil juridique avant publication
🤝
Modèles de clauses DPA sous-traitants
Trames de clauses data processing agreement pour vos prestataires IA (cloud, LLM, analytics) — à adapter par votre conseil juridique
📊
Rapport d'audit conformité
Bilan détaillé des gaps identifiés, plan de remédiation priorisé avec délais et responsables
Contexte réglementaire

Pourquoi la conformité IA
devient urgente au Maroc

⚖️

Loi 09-08 — En vigueur depuis 2009

La loi relative à la protection des données personnelles s'applique déjà à tous les traitements IA. La CNDP monte en puissance dans ses contrôles, notamment dans les secteurs bancaire, santé et RH.

🇪🇺

EU AI Act — Effet extraterritorial

Depuis 2024, l'EU AI Act s'applique aux entreprises dont l'IA affecte des utilisateurs européens. Les exportateurs marocains et partenaires d'entreprises européennes sont directement concernés.

🏦

Secteurs sous surveillance renforcée

Banque, assurance, santé, RH, e-commerce : la CNDP publie des recommandations sectorielles spécifiques. Ces secteurs doivent démontrer leur conformité sur demande ou en cas d'inspection.

🏛️

Marchés publics & appels d'offres

De plus en plus d'appels d'offres publics au Maroc exigent une attestation de conformité CNDP pour les prestataires technologiques. La conformité devient un avantage concurrentiel direct.

🌍

Stratégie Maroc Digital 2030

La vision nationale place le Maroc comme hub numérique africain. Un cadre de conformité IA robuste est un prérequis pour attirer des investissements et des partenariats internationaux.

💼

Confiance client = levier commercial

82 % des entreprises B2B marocaines identifient la confiance dans la gestion des données comme critère décisif lors du choix d'un prestataire IA. La conformité est un argument de vente.

Questions fréquentes

Ce que les dirigeants
marocains nous demandent en premier

Oui. La loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel s'applique à tout système traitant des données personnelles, y compris les modèles d'IA. Toute entreprise déployant de l'IA qui traite des données clients, employés ou prospects est soumise à ses obligations.
Selon la loi 09-08, les traitements de données personnelles doivent être déclarés ou autorisés par la CNDP. Un système IA qui analyse des CV, des comportements clients ou des données de santé nécessite une déclaration préalable. Certains traitements sensibles (biométrie, données de santé) nécessitent une autorisation — pas simplement une déclaration.
La Data Protection Impact Assessment (DPIA) est une analyse des risques d'un traitement pour la vie privée des individus. Elle est recommandée et souvent exigée pour les systèmes IA à haut risque : scoring de crédit, profilage RH, systèmes de surveillance, décisions automatisées. La CNDP peut l'exiger lors d'une inspection.
La loi 09-08 prévoit des sanctions pénales (amendes de 10 000 à 1 000 000 MAD, emprisonnement de 3 à 12 mois) et des sanctions civiles. Au-delà du risque légal : perte de confiance des clients, blocage de marchés publics, et risques réputationnels croissants avec la montée en puissance des exigences IA mondiales.
Oui, indirectement. Les entreprises marocaines qui exportent vers l'UE, opèrent en partenariat avec des entreprises européennes, ou utilisent des services IA d'acteurs européens peuvent être impactées. De plus, le Maroc tend à aligner sa réglementation sur les standards européens — anticiper l'EU AI Act est une posture stratégique pour 2025-2026.

Êtes-vous en conformité
avec la loi 09-08 ?

45 minutes de diagnostic pour cartographier votre démarche de conformité IA et construire un plan d'action opérationnel — en complément de votre conseil juridique.

À explorer également

Audit IA entreprise

Évaluez l'état de maturité IA de votre entreprise avant de déployer

Automatisation RH IA

RH automatisées dans le respect de la loi 09-08 et des données candidats

Déploiement IA Maroc

Déploiement sécurisé et conforme de vos systèmes IA en production

Stratégie IA entreprise

Construisez une feuille de route IA qui intègre la conformité dès le départ