MPD Data Protection vous aide à décrypter les enjeux actuels de la loi marocaine sur les données personnelles

 

 

Une loi toujours en vigueur, mais aux limites visibles

Promulguée en 2009, loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel encadre la protection des données personnelles au Maroc. Elle impose des obligations claires aux responsables de traitement : déclaration auprès de la Commission Nationale de Contrôle de la Protection des Données à Caractère Personnel (CNDP), obtention du consentement des personnes concernées, mise en œuvre de mesures de sécurité, respect des droits d’accès et de rectification. Cette loi reste pleinement en vigueur en 2025, comme le confirme la CNDP. Alignée sur la Convention 108 du Conseil de l’Europe, la loi 09‑08 a longtemps constitué un socle solide. Cependant, elle montre aujourd’hui ses limites face aux évolutions technologiques et à l’internationalisation des échanges de données.  

Vue aérienne de Casablanca avec des icônes numériques illustrant la cybersécurité et la protection des données

Casablanca face aux enjeux du numérique : RGPD, IA, cybersécurité

 

Des défis croissants : IA, vidéosurveillance, big data

Avec l’essor de l’intelligence artificielle, de la vidéosurveillance intelligente et du big data, la loi 09‑08 semble dépassée sur plusieurs aspects. Elle ne prévoit pas de cadre spécifique pour l’IA, ni pour les décisions automatisées ayant un impact juridique ou significatif. En 2024-2025, plusieurs signaux révèlent ces failles : la CNDP a lancé des campagnes ciblées, notamment dans le secteur des pharmacies (février 2025), pour rappeler les obligations de sécurité et de confidentialité. La vidéosurveillance fait également l’objet d’interprétations floues, faute d’un encadrement explicite adapté aux nouveaux usages.  

 

Vers une réforme ou un alignement avec le RGPD ?

De nombreuses voix s’élèvent pour réclamer une réforme de la loi 09‑08. Des juristes comme Me Driss Belmahi soulignent l’urgence d’une adaptation aux standards européens (RGPD) et aux exigences du futur règlement IA (AI Act).

« Comme le souligne Me Driss Belmahi, membre de la CNDP et conseiller auprès du Médiateur du Royaume, dans un entretien publié dans Telquel « il est probable que la loi 09‑08 soit mise à jour pour inclure la composante IA ».

Cette prise de position confirme l’urgence de réformer le cadre juridique marocain pour répondre aux défis du RGPD et du futur règlement européen IA (AI Act). » (Novembre 2024)

 

Cette déclaration reconnue par un juriste marocain confirme l’appel à une réforme pour intégrer les enjeux liés à l’intelligence artificielle et aligner la loi aux standards européens.

Une mise à jour de la loi permettrait d’introduire une gouvernance plus claire, des obligations renforcées (notifications de violation, analyses d’impact), ainsi que des sanctions plus dissuasives. Le Maroc, partenaire économique de l’UE, a tout intérêt à s’aligner sur les exigences européennes.

👉 Voir aussi : IA : comment l’IA entre (vraiment) dans le quotidien des entreprises ?  

 

 

Infographie comparant la loi marocaine 09-08 sur les données personnelles avec les évolutions attendues, incluant l’IA et le RGPD.

Loi 09-08 : une base encore en vigueur, mais en quête d’adaptation aux standards européens et aux enjeux de l’intelligence artificielle.

 

 

Loi 09-08 : quel avenir pour les entreprises marocaines ?

Les entreprises marocaines doivent aujourd’hui composer avec deux dynamiques : respecter la loi 09‑08 et anticiper une probable réforme. Celles qui collaborent avec des partenaires européens ou traitent les données de citoyens de l’UE sont d’ores et déjà concernées par le RGPD. Se mettre en conformité dès maintenant, en adoptant les bonnes pratiques issues du RGPD (registre, DPO, sécurité renforcée…), devient une stratégie proactive pour gagner en crédibilité et accéder à de nouveaux marchés.  

 

En résumé : 

La loi 09‑08 est toujours en vigueur et pose un cadre utile, mais montre ses limites. L’évolution des technologies impose une réforme intégrant les enjeux de l’IA. Une anticipation réglementaire est possible et même stratégique pour les entreprises marocaines. Elles peuvent dès maintenant anticiper ces évolutions et se préparer à une convergence vers les standards européens.  

FAQ : Loi 09-08 et conformité RGPD au Maroc

La loi 09‑08 est-elle toujours applicable en 2025 ?

Oui, elle reste pleinement en vigueur. La CNDP confirme son application obligatoire pour tout traitement de données au Maroc.  

Une entreprise marocaine doit-elle se conformer au RGPD ?

Oui, dès lors qu’elle traite les données de citoyens européens ou collabore avec des partenaires européens, elle est concernée par les principes du RGPD.  

La loi 09‑08 encadre-t-elle l’intelligence artificielle ?

Non, pas encore. C’est un des points faibles de la loi actuelle, d’où les appels à réforme.

 

En résumé :

Le RGPD et l’AI Act, bien que distincts, se rejoignent sur un objectif commun : garantir une utilisation équitable, transparente et responsable de l’intelligence artificielle. Pour les entreprises, il s’agit d’anticiper, de documenter, et surtout de placer l’humain au cœur des décisions automatisées.

Pour aller plus loin

 LES SOLUTIONS CHEZ MDP Data Protection  :

 

Besoin d’un accompagnement spécifique Maroc/UE ? Contactez  MDP Data Protection pour un accompagnement spécifique, structurer vos pratiques, anticiper les évolutions réglementaires et bâtir une confiance durable.

✍️ À propos de l’auteur

Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.

Dernière mise à jour : Juin 2025