En 2009, le Maroc adoptait la loi 09-08 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, instituant la Commission Nationale de Contrôle de la Protection des Données à caractère Personnel (CNDP). Quinze ans plus tard, ce cadre juridique — inspiré de la directive européenne 95/46/CE elle-même désormais remplacée par le RGPD — montre des lacunes significatives face aux défis posés par l'intelligence artificielle générative.
ChatGPT, Gemini, Midjourney et leurs concurrents ont révolutionné l'accès à l'IA. Mais ils ont également soulevé des questions juridiques inédites : peut-on entraîner un modèle d'IA sur des données personnelles sans consentement explicite ? Qui est responsable quand une IA génère des informations inexactes sur une personne réelle ? Comment s'applique le droit à l'effacement quand les données ont servi à paramétrer un modèle de langage ?
I. La loi 09-08 face à l'IA : une inadaptation structurelle
La loi 09-08 repose sur des principes fondamentaux — finalité déterminée, durée de conservation limitée, consentement éclairé, droit d'accès et de rectification — qui ont été conçus pour des traitements de données relativement simples et identifiables. Un fichier clients, une base de données RH, un registre médical. Ces principes peinent à s'appliquer aux systèmes d'IA qui traitent des volumes massifs de données de manière opaque.
1.1 Le problème de la finalité dans l'apprentissage automatique
Le principe de finalité exige que les données soient collectées pour des finalités déterminées, explicites et légitimes et ne soient pas traitées ultérieurement de manière incompatible avec ces finalités. Or, l'entraînement des modèles d'IA implique précisément un traitement secondaire massif : des données collectées à une fin (navigation web, textes publiés, images postées) sont réutilisées pour entraîner des modèles à une fin complètement différente.
La CNDP n'a pas encore émis de prise de position officielle sur la compatibilité de l'entraînement des modèles d'IA avec le principe de finalité de la loi 09-08. Cette lacune doctrinale crée une insécurité juridique significative pour les entreprises marocaines qui souhaitent développer ou déployer des solutions d'IA utilisant des données locales.
- Finalité — L'entraînement des modèles constitue-t-il un traitement compatible avec la finalité initiale ?
- Consentement — Le consentement « valide » est-il possible pour des traitements d'IA opaques ?
- Droit d'effacement — Comment effacer une donnée « mémorisée » dans les poids d'un modèle ?
- Décision automatisée — La loi 09-08 n'interdit pas explicitement les décisions automatisées sans intervention humaine
- Transferts internationaux — Les modèles hébergés à l'étranger et traités sur des données marocaines
- Responsabilité — Qui répond des dommages causés par une IA : développeur, déployeur ou utilisateur ?
1.2 L'absence de régulation des décisions automatisées
L'une des lacunes les plus préoccupantes de la loi 09-08 est l'absence d'un régime encadrant les décisions individuelles automatisées. Le RGPD européen consacre à ce sujet son article 22, qui donne aux personnes concernées le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé — incluant le profilage — produisant des effets juridiques ou les affectant significativement.
La loi 09-08 ne contient aucune disposition équivalente. Un employeur marocain qui utiliserait un algorithme pour trier des CV, une banque qui refuserait un crédit sur la base d'un scoring automatisé, ou une compagnie d'assurance qui tariferait ses primes via un modèle prédictif — aucun de ces cas n'est expressément encadré par la loi marocaine actuelle.
« La CNDP est une institution solide et crédible. Ce qui lui manque, c'est un cadre législatif à la hauteur des enjeux de 2026. La loi 09-08 est un bon texte — mais il a vieilli. L'IA générative a créé une urgence législative que le Maroc ne peut plus ignorer. »— Me Hassan Rachidi, Avocat, Casablanca
II. Le modèle européen comme référence et comme avertissement
L'Union Européenne a adopté en mai 2024 l'AI Act — premier règlement mondial spécifiquement dédié à l'intelligence artificielle. Ce texte classifie les systèmes d'IA selon leur niveau de risque (inacceptable, élevé, limité, minimal) et impose des obligations proportionnées aux développeurs et déployeurs.
Pour le Maroc, l'AI Act européen est à la fois une source d'inspiration et un signal d'alarme. En tant que partenaire commercial majeur de l'UE et pays aspirant à renforcer ses relations avec le marché unique, le Maroc est directement impacté par cette réglementation : toute entreprise marocaine qui développe ou déploie des systèmes d'IA utilisés par des personnes physiques situées dans l'UE est potentiellement soumise à l'AI Act.
2.1 Les pistes de réforme pour la CNDP
Face à ces lacunes, plusieurs pistes de réforme méritent d'être explorées. La première, la plus urgente, est l'adoption par la CNDP de lignes directrices sur le traitement des données personnelles dans les systèmes d'IA — à l'image des lignes directrices émises par la CNIL française ou le Comité européen de la protection des données.
Ces lignes directrices pourraient couvrir : les bases légales admissibles pour l'entraînement des modèles d'IA, les obligations d'information et de transparence envers les personnes concernées, les conditions d'exercice du droit d'accès et d'effacement dans le contexte de l'IA, et les exigences minimales d'évaluation d'impact sur la protection des données (AIPD) pour les traitements d'IA à risque élevé.
III. Recommandations pour les entreprises marocaines
En attendant la réforme législative, les entreprises marocaines qui développent ou utilisent des solutions d'IA doivent adopter une approche de privacy by design — en intégrant la protection des données dès la conception des systèmes plutôt que de l'ajouter a posteriori.
Concrètement, cela implique : réaliser une cartographie des données personnelles traitées par les systèmes d'IA, identifier la base légale applicable à chaque traitement, mettre en place des mécanismes de consentement granulaire pour les traitements à risque élevé, et documenter les décisions algorithmiques susceptibles d'affecter les droits des personnes concernées.
Les avocats d'affaires ont ici un rôle de conseil déterminant. La conformité CNDP, longtemps perçue comme une contrainte administrative secondaire, devient un enjeu de gouvernance stratégique à mesure que les régulateurs — marocains et étrangers — intensifient leurs contrôles sur les traitements de données par IA.
Conclusion
La régulation de l'IA par le droit des données personnelles est une course contre la montre que le Maroc est en train de perdre. Non par manque de compétences — la CNDP dispose d'experts reconnus — mais par absence d'une volonté politique de mettre à jour un cadre législatif vieillissant.
L'occasion d'une réforme globale de la loi 09-08, intégrant les leçons du RGPD et les exigences spécifiques de l'IA, se présente maintenant. La retraiter comme une simple mise à jour technique serait une erreur : c'est une occasion de positionner le Maroc comme un leader réglementaire en matière d'IA en Afrique, à l'instar de ce qu'il a réussi à faire en matière de finance participative.
Sources : Loi 09-08 relative à la protection des données à caractère personnel · Règlement (UE) 2016/679 (RGPD) · Règlement (UE) 2024/1689 (AI Act) · Rapport annuel CNDP 2025 · Lignes directrices du CEPD sur l'IA et la protection des données (2023).