Guide 2026 : mettre son IA en conformité avec le droit marocain
Mis à jour le 12 juillet 2026
En bref
Une entreprise marocaine qui déploie l'IA doit vérifier trois niveaux de conformité : la loi 09-08 sur les données personnelles, la loi 05-20 sur la cybersécurité pour les systèmes sensibles, et, pour les exportateurs ou filiales étrangères, l'alignement sur l'AI Act européen. La démarche pratique repose sur une cartographie des risques suivie d'un plan de mise en conformité à 90 jours.
Le cadre juridique de l'IA au Maroc combine des textes existants, loi 09-08 et loi 05-20, et une future loi-cadre Digital X.0 encore en préparation. Ce guide détaille les étapes concrètes pour qu'une entreprise marocaine, quel que soit son secteur, structure sa conformité IA sans attendre le texte définitif.
Faut-il attendre la loi Digital X.0 pour agir ?
Non. La loi 09-08 sur la protection des données personnelles et la loi 05-20 sur la cybersécurité s'appliquent déjà aux systèmes d'IA qui traitent des données personnelles ou touchent des infrastructures sensibles. Attendre la loi-cadre Digital X.0 pour se mettre en conformité revient à prendre un retard évitable.
La démarche recommandée consiste à cartographier dès maintenant les traitements de données liés à l'IA dans l'entreprise, puis à vérifier leur base légale et leurs modalités de déclaration auprès de la CNDP.
Comment travailler avec la CNDP concrètement
La CNDP est l'autorité marocaine de contrôle pour la protection des données personnelles. Pour un système IA qui traite des données sensibles, comme la santé, le crédit ou les ressources humaines, une déclaration ou une autorisation préalable peut être nécessaire.
Une bonne pratique consiste à documenter, pour chaque système IA, la finalité du traitement, les catégories de données utilisées et la durée de conservation, avant tout déploiement en production.
Faut-il s'aligner sur l'AI Act européen ?
Pour les entreprises marocaines exportatrices ou les filiales de groupes européens, l'alignement sur l'AI Act est fortement conseillé, même en l'absence d'obligation directe. Il facilite les audits clients et anticipe une possible convergence réglementaire avec la future loi Digital X.0.
Concrètement, cela implique de documenter le niveau de risque de chaque système IA et de prévoir une supervision humaine sur les décisions automatisées à fort impact, comme le recrutement ou le crédit.
Un plan de mise en conformité en 90 jours
Un plan réaliste se découpe en trois phases : cartographie des systèmes IA et des risques juridiques sur les 30 premiers jours, rédaction d'une charte interne d'utilisation de l'IA sur les 30 jours suivants, puis mise à jour des contrats fournisseurs et formation des équipes sur la dernière phase.
Ce type de plan peut être financé via les Contrats Spéciaux de Formation de l'OFPPT, qui remboursent une partie des coûts de formation des collaborateurs concernés.
Chiffres clés
- La loi 09-08, adoptée en 2009, protège les données personnelles au Maroc sous le contrôle de la CNDP (CNDP)
- Digital Morocco 2030, lancée en septembre 2024, mobilise 11 milliards DH sur 2024-2026 (Maroc Digital 2030 — Ministère de la Transition Numérique)
- L'objectif national est de former 100 000 jeunes aux métiers du numérique d'ici 2030, contre 14 000 aujourd'hui (Maroc Digital 2030 — Wikipédia)
- Les formations planifiées dans le cadre des CSF/OFPPT peuvent être remboursées jusqu'à 100% (OFPPT — CSF)
Pour aller plus loin
Sources
Un projet IA dans ce domaine ?
Un conseiller AIClass.ma vous aide à choisir la formation adaptée à votre équipe.
Prêt à former vos équipes à l'IA, concrètement ?
Un conseiller AIClass.ma vous aide à choisir la bonne formation, le bon format et à monter votre dossier CSF/OFPPT selon éligibilité.