Le 18 mars 2025, Commission nationale de contrôle de la protection des données à caractère personnel a rendu public un communiqué qui marque une étape importante dans l’encadrement de l’intelligence artificielle au Maroc. Derrière ce rappel en apparence classique du cadre juridique existant, l’institution pose en réalité les bases d’un modèle de gouvernance appelé à structurer durablement les usages de l’IA dans le pays.
Passé relativement inaperçu dans le contexte de la veille de l’Aïd, ce texte vient clarifier une position essentielle, relève le quotidien Les Inspirations Éco: les systèmes d’intelligence artificielle ne constituent pas une zone de non-droit. Dès lors qu’ils reposent sur des données à caractère personnel, ils relèvent pleinement de la loi 09-08. À ce titre, les principes de transparence, de loyauté, de finalité déterminée, de proportionnalité et de sécurité s’imposent aux acteurs qui développent ou exploitent ces technologies. Le droit d’accès et de recours des personnes concernées est également réaffirmé comme un pilier incontournable.
L’un des apports majeurs du communiqué réside toutefois dans l’accent mis sur la contestabilité des décisions automatisées. En d’autres termes, toute décision prise par un système algorithmique doit pouvoir être comprise, retracée et, le cas échéant, remise en question par les citoyens. Cette exigence implique un effort accru de documentation, de traçabilité et de lisibilité des traitements, qui dépasse largement les pratiques observées jusqu’ici dans de nombreux projets technologiques. L’approche adoptée par la Commission s’inscrit dans une démarche progressive et structurée, a-t-on pu lire dans Les Inspirations Éco.
Après avoir conduit une analyse comparative à l’international et engagé des échanges avec des autorités étrangères, l’institution prévoit d’élargir la concertation à un large éventail d’acteurs, incluant experts, organisations professionnelles, institutions publiques et représentants de la société civile. Cette méthode vise à préparer l’élaboration d’un cadre de référence spécifique à l’intelligence artificielle, qui viendra préciser les modalités concrètes de mise en conformité.
Pour les entreprises, cette évolution annonce un changement significatif. Il ne s’agira plus uniquement de se conformer de manière générale à la loi 09-08, mais d’intégrer des exigences plus fines, adaptées aux spécificités des systèmes algorithmiques. Ce mouvement s’inscrit dans une dynamique internationale plus large. En Europe, par exemple, le AI Act introduit une classification des systèmes d’IA selon leur niveau de risque et impose des obligations différenciées en matière de transparence, de supervision humaine et de gestion des impacts.
Sans transposer mécaniquement ce modèle, les orientations esquissées par la CNDP en reprennent certains principes structurants. Les notions de documentation technique, d’analyse d’impact sur la protection des données et de contrôle humain apparaissent comme des axes centraux du futur cadre marocain. À cela pourraient s’ajouter des référentiels internationaux tels que la norme ISO/IEC 42001, qui contribuent à formaliser les bonnes pratiques en matière de gestion des systèmes d’intelligence artificielle, écrit Les Inspirations Éco. Dans ce contexte, les organisations marocaines sont appelées à revoir en profondeur leur approche de l’IA. Longtemps perçus comme des projets purement techniques ou expérimentaux, ces systèmes doivent désormais être appréhendés sous l’angle de la conformité et de la responsabilité. Cela suppose d’identifier précisément les traitements impliquant des données personnelles, d’en documenter les finalités et les bases légales, et de mettre en place des mécanismes robustes d’information et de recours.
L’intégration de la conformité dès la phase de conception, selon le principe de «privacy by design», devient une exigence opérationnelle. Elle implique une collaboration étroite entre les fonctions juridiques, techniques et métiers. Les rôles du délégué à la protection des données et du responsable de la sécurité des systèmes d’information s’en trouvent renforcés, avec une évolution vers des fonctions de conseil stratégique au cœur des projets.
Ce positionnement rejoint celui d’autres autorités de protection des données, telles que la Commission nationale de l’informatique et des libertés ou le Comité européen de la protection des données, qui multiplient les initiatives pour encadrer le développement de l’intelligence artificielle. En s’inscrivant dans cette dynamique, la CNDP envoie un signal clair aux acteurs économiques: la conformité en matière d’IA devient un levier de compétitivité, en particulier pour les entreprises engagées dans des partenariats internationaux.
Reste la question de la préparation des organisations face à ces évolutions. Au-delà des dispositifs formels, la capacité à structurer une gouvernance efficace de l’IA repose sur une vision d’ensemble: cartographie des systèmes déployés, procédures d’évaluation des risques, coordination entre les différentes expertises et aptitude à démontrer la conformité en cas de contrôle. Dans de nombreux cas, ces éléments demeurent encore fragmentés. Les projets d’intelligence artificielle continuent souvent de se développer à un rythme qui dépasse celui de leur encadrement juridique et sécuritaire, révélant un décalage que les nouvelles orientations de la CNDP entendent précisément réduire.
