1. Fondement légal : la architecture normative marocaine

1.1 La loi n° 09-08 : pilier central de la protection des données

La loi n° 09-08 relative à la protection des données à caractère personnel constitue le fondement juridique majeur du droit numérique marocain. Cette loi établit les principes directeurs applicables à tout traitement de données personnelles effectué par des organismes publics ou privés.

Les principes fondamentaux énoncés comprennent : - Le principe de légalité : tout traitement doit avoir une base légale - Le consentement de la personne : la donnée ne peut être traitée sans l'accord préalable du titulaire - La limitation de la finalité : les données ne peuvent être utilisées que pour l'objectif déclaré - La minimisation des données : seules les données nécessaires sont collectées - La sécurité des données : obligation de mise en place de mesures de protection

Cette loi s'applique à tout traitement de données situées au Maroc ou effectuées par des entités marocaines, qu'elles soient publiques ou privées.

1.2 Le Décret exécutif complémentaire

Le Décret exécutif n° 19-157 du 10 Rabie Ethani 1440 correspondant au 17 décembre 2018 fixe les modalités d'application de la loi n° 09-02 relative à la protection des données à caractère personnel. Ce décret précise les conditions pratiques de mise en conformité et les obligations administratives des responsables de traitement.

Ce cadre normatif crée une obligation générale de transparence : toute organisation traitant des données personnelles doit informer les individus concernés de manière claire et intelligible.

1.3 Les autres textes applicables

Au-delà de la loi spécifique, plusieurs textes marocains complètent ce cadre : - Le Code pénal : sanctionne les atteintes à l'image, au respect de la vie privée et les abus sexuels en ligne - La loi sur le commerce électronique : encadre les transactions numériques et la responsabilité des intermédiaires - Les codes sectoriels : régulent les traitements spécifiques (données bancaires, médicales, etc.)

Pour approfondir votre compréhension du cadre légal marocain, consultez nos experts juridiques numériques sur juriste.genius-assistant.ai

---

2. Intelligence artificielle : un cadre encore en construction

2.1 L'IA et la protection des données : principaux enjeux

L'intelligence artificielle pose des défis spécifiques au droit des données personnelles au Maroc :

L'opacité algorithmique : les systèmes d'IA fonctionnent souvent comme des « boîtes noires » où les décisions ne peuvent pas être expliquées. Or, la loi marocaine impose que tout traitement de données soit transparent et justifiable.

Le profilage automatisé : l'IA permet de créer des profils détaillés des individus à partir de données fragmentées. Cette pratique soulève la question du consentement : une personne qui accepte le partage d'une donnée isolée ne consent pas nécessairement à son utilisation dans un système de profilage.

La délégation de décision : lorsqu'une IA prend une décision affectant un individu (crédit, emploi, justice), celui-ci doit pouvoir contester et obtenir une explication. Le Guide IA rappelle que même les algorithmes « éthiques » doivent respecter cette exigence de responsabilité.

La réutilisation pour finalités secondaires : les données collectées pour former une IA peuvent être réutilisées pour d'autres finalités sans consentement explicite. C'est une violation du principe de limitation de finalité.

2.2 Approche régulatrice marocaine

Le Maroc n'a pas encore adopté de loi spécifique sur l'IA (contrairement à l'Union européenne avec le AI Act). Néanmoins, les jurisprudences marocaines récentes appliquent la loi de protection des données aux systèmes d'IA, notamment en :

• Exigeant la transparence : les entreprises utilisant l'IA doivent révéler cette utilisation
• Demandant le consentement explicite : pour les traitements à haut risque
• Imposant des audits : vérification régulière des algorithmes pour détecter les biais
• Sanctionnant les abus : les utilisations discriminatoires sont punies

Pour comprendre comment adapter votre usage de l'IA à la légalité marocaine, contactez nos experts numériques : juriste.genius-assistant.ai

---

3. Harcèlement numérique et cybercriminalité : droits et recours

3.1 Définition juridique du harcèlement numérique au Maroc

Le harcèlement numérique (ou cyberharcèlement) recouvre plusieurs pratiques illégales :

Le harcèlement textuel : messages répétés insultants, menaces, chantage effectués par SMS, messageries, réseaux sociaux

Le harcèlement par partage de contenu : diffusion de photos/vidéos intimes sans consentement (image abuse, revenge porn), publication de données personnelles, moqueries publiques systématiques

Le harcèlement coordonné : campagnes organisées d'intimidation, meutes numériques (pile-on)

La sextorsion : extorsion sexuelle utilisant des images/vidéos compromettantes

Ce phénomène affecte particulièrement : - Les femmes et les filles (64% des victimes selon les études internationales) - Les minorités et personnes vulnérables - Les professionnels ciblés par des concurrents

3.2 Cadre pénal applicable

Condamnation pour atteinte au droit à l'image : Publication non consentie des données personnelles d'un salarié, le Tribunal de commerce de Casablanca (Décision 5288 du 30 avril 2024) a condamné une entreprise pour atteinte au droit à l'image et ordonné la suppression des contenus sous astreinte. Cette jurisprudence confirme que le simple partage de données personnelles identifiantes (photos de profil, noms, coordonnées) sans consentement écrit constitue une violation du droit à l'image, même sans intention malveillante.

Le Code pénal marocain sanctionne : - L'atteinte au respect de la vie privée : diffamation, injures, révélation de secrets - Les abus sexuels en ligne : exhibitionnisme numérique, sollicitation sexuelle de mineurs - L'usurpation d'identité numérique : utilisation frauduleuse du compte ou de l'image d'autrui - Le chantage : extorsion utilisant des données sensibles

3.3 Responsabilité des plateformes numériques

Les réseaux sociaux, forums et services d'hébergement ont des obligations :

Obligation de modération : retrait rapide de contenus manifestement illégaux (dans un délai raisonnable)

Droit à l'oubli : possibilité pour un utilisateur de demander la suppression de ses données

Signalement : mise à disposition de mécanismes clairs pour signaler du harcèlement

Coopération avec les autorités : transmission de données lorsque requis par décision judiciaire

Pour protéger vos données face aux abus numériques, consultez nos juridistes spécialisés : juriste.genius-assistant.ai

---

4. Conditions d'application et obligations pratiques

4.1 Qui est concerné ?

Les responsables de traitement (RGPD marocain) : - Les entreprises collectant des données clients - Les administrations traitant des fichiers administratifs - Les prestataires numériques (agences web, éditeurs logiciels) - Les PME et startups dès qu'elles stockent des emails ou cookies

Les sous-traitants (RGPD marocain) : - Les sociétés cloud hébergeant les données - Les agences marketing gérant les données clients - Les cabinets d'audit numérique

Ces entités doivent respecter les obligations de sécurité, de consentement et de transparence.

4.2 Obligations préalables à la collecte

1. Information préalable : avant de collecter une donnée, informer la personne : - De l'identité du responsable - De la finalité (à quoi servira cette donnée) - Du caractère obligatoire ou optionnel - Des destinataires potentiels - De la durée de conservation - Des droits accessibles (accès, rectification, suppression)

2. Consentement explicite : obtenir un accord écrit, clair, positif (pas de case précochée). Le consentement doit être spécifique à chaque usage. Un consentement global est invalide.

3. Analyse d'impact : pour les traitements à haut risque, réaliser une évaluation des impacts sur les libertés individuelles.

4. Contrats de protection : si les données sont externalisées (cloud, agences), signer un contrat spécifiant les mesures de sécurité.

4.3 Sécurité des données : mesures obligatoires

Mesures techniques : - Chiffrement des données en transit et au repos - Contrôle d'accès (authentification, autorisation) - Sauvegardes régulières et tests de récupération - Antivirus, pare-feu, détection d'intrusions - Logs d'accès et audit réguliers

Mesures organisationnelles : - Sensibilisation des employés (notamment risques du phishing) - Procédure d'incident (identification rapide des fuites, notification dans les 48 heures) - Responsable juridique désigné - Politique de mots de passe forts - Accès limité au personnel nécessaire

Mesures de gouvernance : - Documentation des traitements - Register of processing activities (registre des traitements) - Evaluation régulière de conformité

4.4 Droits des individus (données)

Toute personne a le droit de : - Accéder à ses données gratuitement dans les 30 jours - Rectifier les données inexactes - Supprimer (droit à l'oubli) ses données si la finalité a disparu - Portabilité : obtenir ses données dans un format standard - Opposition : refuser un traitement (sauf obligations légales) - Non-profilage : refuser les décisions basées uniquement sur l'automatisation

Ces droits doivent être exercables facilement. Une demande par email doit obtenir réponse dans le délai légal.

Pour mettre en place une governance juridique robuste de vos données, contactez nos experts : juriste.genius-assistant.ai

---

5. Effets juridiques et sanctions

5.1 Responsabilité civile

Indemnisation des dommages : toute personne victime d'une violation de ses données peut demander réparation du préjudice moral et matériel (perte de confiance, frais de crédit-monitoring en cas d'usurpation identité).

Annulation de contrats : un contrat conclu sur base de données obtenues illégalement peut être annulé.

Mesures d'urgence : le tribunal peut ordonner le gel des données, la suppression immédiate, ou l'interdiction d'utilisation sous astreinte (cas du jugement Casablanca 2024 : suppression sous astreinte de 500 DH/jour).

5.2 Responsabilité pénale

Amendes : violations graves entraînent des amendes substantielles (jusqu'à 1 million DH selon certaines infractions)

Emprisonnement : pour les infractions graves (sextorsion, harcèlement sexuel, usurpation d'identité numérique) : 6 mois à 3 ans de prison

Saisie du matériel : confiscation des serveurs, ordinateurs, téléphones utilisés pour l'infraction

Interdiction d'exercer : les entreprises responsables peuvent être interdites de traitement de données pour une durée limitée

5.3 Responsabilité administrative

La Commission Nationale de Contrôle de la Protection des Données Personnelles (CNCPDP) peut : - Contrôler les organismes (inspections) - Adresser des avertissements à ceux qui ne se conforment pas - Imposer des audits externes aux frais de l'entreprise - Ordonner la conformité sous délai - Publier les infractions ce qui endommage la réputation

Jurisprudence clé : Le jugement du Tribunal de commerce de Casablanca (2024) démontre que les courts marocaines appliquent strictement la loi sur les données. La suppression ordonnée sous astreinte montre que les juges ne se contentent pas d'une simple condamnation pécuniaire—ils forcent l'exécution effective.

5.4 Responsabilité des prestataires et plateformes

Les hébergeurs et réseaux sociaux peuvent être tenus responsables : - Non-retrait rapide de contenu manifestement illégal - Absence de modération entraînant du harcèlement - Insuffisance de sécurité permettant des piratages - Partage de données sans base légale ou consentement

Pour évaluer vos responsabilités légales, consultez nos spécialistes : juriste.genius-assistant.ai

---

6. Jurisprudence illustrative

Arrêt clé : Tribunal de commerce de Casablanca - Publication non consentie de données personnelles (2024)

Ref. 34098 | Décision n° 5288 | 30 avril 2024

Faits : Une entreprise marocaine avait publié sur ses canaux numériques (site web, réseaux sociaux) les données personnelles d'un salarié (photo de profil, nom complet, poste) sans consentement écrit préalable.

Enjeu juridique : S'agissait-il d'une violation du droit à l'image et à la protection des données personnelles ?

Décision du tribunal : Le tribunal a condamné l'entreprise pour atteinte au droit à l'image et ordonné la suppression de toutes les données personnelles du salarié sous astreinte de 500 DH par jour de retard.

Principes établis : 1. Le droit à l'image est autonome du droit aux données personnelles—une violation d'un seul suffit 2. Le consentement doit être préalable, écrit et spécifique (pas de consentement global au contrat de travail) 3. L'absence d'intention malveillante ne justifie pas la violation (le "bon» usage sans consentement reste illégal) 4. Les ordonnances de suppression sont assorties d'astreinte pour forcer le respect 5. Le simple fait d'être une personne publique ou un « personnage local » ne dispense pas du consentement

Impact : Cette jurisprudence renforce considérablement la protection au Maroc. Elle signale aux entreprises que la loi n° 09-08 est appliquée effectivement par les cours et que les préjudices immatériels (violation de vie privée, humiliation publique) sont reconnus.

Implications pratiques : - Les PME et startups doivent obtenir des consentements écrits - Les campagnes marketing doivent vérifier les autorisations d'usage d'image - Les données des employés ne doivent pas être utilisées à des fins externes - Les astreintes peuvent être substantielles pour les dégâts réputationnels importants

---

7. Cas pratiques et scénarios concrets

Cas 1 : Startups e-commerce et consentement clients

Situation : Une startup marocaine de vente en ligne collecte les adresses email de ses clients lors de la création de compte. Elle souhaite ensuite les contacter pour des promotions.

Problème juridique : Le consentement donné pour créer un compte (finalité = gestion de commande) ne couvre pas l'usage marketing (finalité = prospection commerciale).

Solution légale : 1. Créer une case optionnelle (non précochée) pour s'abonner à la newsletter 2. Inclure dans l'email de bienvenue : identité de la startup, finalité du marketing, fréquence estimée, droit de se désabonner 3. Conserver les traces de consentement (logs horodatés) 4. Implémenter un lien "Gérer mes préférences" dans chaque email 5. Respecter les demandes de désinscription sous 48h

Risque si non-conformité : Amende pour non-consentement + dédommagement des clients + suppression des données + publication du jugement (dommage réputationnel).

Cas 2 : Ressources humaines et données sensibles des employés

Situation : Une PME marocaine stocke dans un Excel non chiffré les fichiers de paie, données médicales (congés maladie), photos de badge et informations disciplinaires de ses 50 employés.

Violations identifiées : 1. Données sensibles (santé, discipline) collectées sans consentement explicite 2. Pas de chiffrement (risque de fuite via email ou partage USB) 3. Accès non restreint (tout le département RH y accède sans justification) 4. Pas de politique de conservation (données gardées indéfiniment) 5. Pas de droit de rectification accessible aux salariés

Actions requises : 1. Implémenter un SIRH (Système d'Information Ressources Humaines) avec contrôles d'accès 2. Chiffrer tous les dossiers de paie et données sensibles 3. Etablir des durées de conservation : paie (5 ans légaux), données disciplinaires (1-2 ans après départ), photos de badge (durée d'emploi seulement) 4. Obtenir consentements signés pour données médicales 5. Former les RH aux risques de fuite 6. Mettre en place une procédure de suppression à la date de conservation

Jurisprudence applicable : Le principe établi par Casablanca 2024 (suppression sous astreinte) s'applique—le tribunal peut ordonner suppression rapide de données illégitimement conservées.

Cas 3 : Harcèlement en ligne et responsabilités multiples

Situation : Une jeune fille de 16 ans a eu ses photos de profil publiées sans consentement sur un groupe WhatsApp de classe, accompagnées de commentaires insultes sexualisés. Les captures d'écran ont circulé sur TikTok.

Responsabilités :

A) De la personne qui a publié (camarade de classe) : - Violation du droit à l'image (pas de consentement) - Harcèlement sexuel aggravé (sexualisation de mineure) - Diffamation (commentaires injurieux) - Peine : jusqu'à 3 ans de prison si mineure victime

B) Du groupe WhatsApp : - Les administrateurs du groupe responsables de ne pas modérer (selon jurisprudence) - Obligation de suppression rapide une fois alertés - Peuvent être poursuivis complices si inaction après signalement

C) De la plateforme TikTok : - Obligation de retrait du contenu illégal (image d'une mineure utilisée à des fins de harcèlement) - Coopération avec parents/police pour identifier auteurs - Limitation de compte de l'auteur - Si inaction : TikTok peut être tenue responsable du dommage indirect

D) De l'école : - Obligation de protection des élèves dans l'environnement numérique scolaire - Mise en place de règles de utilisation des réseaux sociaux - Sanctionner l'auteur (discipline scolaire) - Informer parents et autorités de harcèlement

Actions légales recommandées : 1. Plainte pénale pour harcèlement sexuel de mineure 2. Demande civile en indemnisation auprès des parents de l'auteur 3. Signalement aux plateformes avec preuves (captures d'écran horodatées) 4. Demande d'astreinte pour suppression sous 48h 5. Porter plainte auprès de CNCPDP pour violation de données d'une mineure

---

8. Bonnes pratiques pour un numérique sûr au Maroc

8.1 Pour les entreprises

Governance des données : - Désigner un Responsable de Protection des Données (DPO) - Maintenir un registre des traitements - Effectuer des analyses d'impact régulières - Auditer la conformité trimestriellement

Sécurité opérationnelle : - Chiffrer données en transit (HTTPS, VPN) et au repos (AES-256) - Implémenter authentification multi-facteurs pour accès sensibles - Réaliser tests de pénétration annuels - Maintenir logs d'accès pendant 1 an minimum

Transparence client : - Publier politique de confidentialité claire et accessible - Mettre en place dashboard de droits (accès, suppression, portabilité) - Répondre aux demandes dans les délais légaux - Informer immédiatement en cas de fuite

Respect du consentement : - Utiliser consentement affirmé (double opt-in pour emails) - Granulariser les consentements par finalité - Conserver traces numériques horodatées - Permettre retrait facile du consentement

8.2 Pour les particuliers/victimes

Protéger ses données : - Utiliser mots de passe forts (+ gestionnaire de mots de passe) - Authentification multi-facteurs sur comptes sensibles - Limiter infos publiques sur réseaux sociaux - Vérifier permissions d'accès applications - Utiliser réseau privé virtuel (VPN) sur WiFi public

En cas de violation : - Documenter immédiatement : captures d'écran, logs d'accès, horaires - Conserver copies (données serveurs peuvent être supprimées) - Signaler rapidement à plateforme et autorités - Demander par écrit suppression (email + recommandé) - Consulter juriste si dommage important (réputation, professionnel)

Contre le harcèlement : - Bloquer auteur sur tous réseaux - Signaler contenu offensant immédiatement - Ne pas répondre/engager (limite escalade) - Solliciter aide famille/école/workplace - Porter plainte si menaces, sexualisation, usurpation identité - Conserver preuves (même si supprimées par auteur—screenshots, liens archivés)

Pour les mineurs : - Utiliser contrôles parentaux sur appareils - Éduquer aux risques avant accès réseaux sociaux - Vérifier confidentialité des comptes (privé, pas de localisation) - Établir règles (pas de partage données sensibles, refuser contact inconnus) - Maintenir dialogue ouvert sur expériences en ligne

8.3 Pour les autorités et régulateurs

Rôle de la CNCPDP : - Renforcer capacités d'inspection et d'audit - Publier rapports d'infractions (effet dissuasif) - Coordonner avec autorités pénales pour harcèlement numérique - Éduquer secteur privé sur conformité (guides, webinaires)

Application stricte : - Utiliser astreintes et amendes pour forcer conformité - Cas du Tribunal de Casablanca 2024 démontre efficacité de suppression sous astreinte - Poursuites pénales pour IA discriminatoires ou opacité intentionnelle

Coordination internationale : - Accords bilatéraux avec autorités étrangères pour identifier auteurs de harcèlement - Harmonisation standards de sécurité (notamment pour cloud marocain) - Participation aux forums régionaux (ALECSO, UEMOA)

Pour mettre en place ces bonnes pratiques dans votre organisation, nos experts juridiques numériques peuvent vous assister : juriste.genius-assistant.ai

---

9. Questions Fréquemment Posées (FAQ)

Q1 : Si je suis une petite boutique physique avec 3 employés, dois-je me conformer à la loi 09-08 ?

A: Oui, la loi s'applique à toute entité, quelle que soit sa taille, dès qu'elle traite des données personnelles. Cela inclut : - Emails clients (liste contacts) - Numéros de téléphone pour relances - Noms sur reçus/factures - Données bancaires si paiements en ligne - Adresses pour livraison

La conformité est simplifiée pour PME (pas besoin de DPO dédié, registre moins détaillé) mais reste obligatoire. Il suffit d'avoir consentement écrit, sécurité basique (pas d'Excel non chiffré), et politique claire.

Q2 : Puis-je utiliser un IA pour évaluer les candidatures ?

A: Techniquement oui, mais soumis à conditions strictes : 1. Transparence : informer candidats que vous utilisez IA, expliquer critères (au moins à haut niveau) 2. Non-discrimination : l'IA ne doit pas systématiquement écarter groupes protégés (femmes, âge, origines). Audit régulier obligatoire. 3. Consentement : candidat doit accepter explicitement évaluation par IA 4. Droit humain : tous candidats rejetés par IA doivent pouvoir contester et obtenir révision humaine 5. Conservation data : données sensibles (photos, vidéos) doivent être supprimées après embauche/rejet

Sans ces garanties, cela viole droits des candidats et peut exposer recruteur à poursuites pénales si discrimination avérée.

Q3 : Un client demande ses données—combien de temps ai-je pour répondre ?

A: Vous avez 30 jours à partir de la

---

Besoin d'approfondir vos recherches juridiques ? Explorez notre plateforme de recherche juridique avec plus de 25 millions de décisions de justice et codes annotés.