La Commission nationale de contrôle de la protection des données à caractère personnel définit un cadre pour l’intelligence artificielle au Maroc
Le 18 mars 2025, la Commission nationale de contrôle de la protection des données à caractère personnel a publié un communiqué marquant une avancée importante dans la régulation de l’intelligence artificielle au Maroc. Ce communiqué pose les bases d’un modèle de gouvernance destiné à encadrer durablement les usages de l’IA dans le pays.
Malgré un contexte marqué par la période de l’Aïd, ce communiqué clarifie un point essentiel selon le quotidien Les Inspirations Éco: les systèmes d’intelligence artificielle ne sont pas en dehors de la loi. En effet, dès lors qu’ils utilisent des données personnelles, ils doivent respecter la loi 09-08. Ainsi, les principes de transparence, de loyauté, de finalité déterminée, de proportionnalité et de sécurité s’appliquent aux acteurs développant ou utilisant ces technologies. Le droit d’accès et de recours pour les personnes concernées est également réaffirmé comme fondamental.
L’un des points clés de ce communiqué réside dans l’importance accordée à la contestabilité des décisions automatisées. En d’autres termes, toute décision prise par un algorithme doit pouvoir être expliquée, retracée et éventuellement remise en question par les citoyens. Cette exigence nécessite une documentation approfondie, une traçabilité et une lisibilité des processus, dépassant les pratiques observées jusqu’à présent dans de nombreux projets technologiques. Cette approche progressive et structurée de la Commission vise à instaurer un cadre solide.
Après une analyse comparative internationale et des échanges avec des autorités étrangères, la Commission prévoit d’impliquer un large éventail d’acteurs, tels que des experts, des organisations professionnelles, des institutions publiques et des représentants de la société civile. Cette concertation vise à préparer l’élaboration d’un cadre spécifique pour l’intelligence artificielle, détaillant les modalités de conformité.
Pour les entreprises, ces évolutions représentent un changement majeur. Elles devront non seulement respecter la loi 09-08, mais aussi intégrer des exigences adaptées aux spécificités des systèmes algorithmiques. Cette démarche s’inscrit dans une tendance internationale plus large, comme le AI Act en Europe, qui classe les systèmes d’IA en fonction de leur niveau de risque et impose des obligations spécifiques en matière de transparence, de supervision humaine et de gestion des impacts.
Les orientations de la CNDP reprennent certains principes clés de ces modèles internationaux. La documentation technique, l’analyse d’impact sur la protection des données et le contrôle humain sont des axes centraux du futur cadre marocain. Les organisations marocaines doivent ainsi repenser leur approche de l’IA, en la considérant désormais sous l’angle de la conformité et de la responsabilité.
L’intégration de la conformité dès la conception, selon le principe de « privacy by design« , devient une exigence opérationnelle. Cela nécessite une collaboration étroite entre les domaines juridiques, techniques et métiers. Les rôles du délégué à la protection des données et du responsable de la sécurité des systèmes d’information sont renforcés, évoluant vers des fonctions de conseil stratégique au sein des projets.
En suivant les pas d’autres autorités de protection des données, telles que la Commission nationale de l’informatique et des libertés ou le Comité européen de la protection des données, la CNDP envoie un message clair aux acteurs économiques: la conformité en matière d’IA devient un levier de compétitivité, notamment pour les entreprises engagées dans des partenariats internationaux.
La question de la préparation des organisations face à ces évolutions reste en suspens. Au-delà des dispositifs formels, la capacité à mettre en place une gouvernance efficace de l’IA repose sur une vision globale: cartographie des systèmes déployés, évaluation des risques, coordination entre les différentes expertises et capacité à démontrer la conformité en cas d’inspection. Dans de nombreux cas, ces éléments restent fragmentés, révélant un décalage entre le développement des projets d’IA et leur encadrement légal et sécuritaire, que les nouvelles orientations de la CNDP visent à réduire.
