C’est précisément ce qu’a rappelé la Commission nationale de contrôle de la protection des données à caractère personnel le 18 mars 2025. Dans son communiqué, la CNDP précise que les traitements d’intelligence artificielle utilisant des données personnelles relèvent de la loi 09-08.

Le point le plus sensible concerne les décisions automatisées. (…) Une décision prise par un système algorithmique doit pouvoir être comprise, retracée et, si nécessaire, remise en cause

Elle rappelle aussi les principes qui s’imposent à ces traitements, à savoir la transparence, la loyauté, la finalité déterminée, la proportionnalité, la sécurité, ainsi que le droit d’accès et de recours des personnes concernées.

Le point le plus sensible concerne les décisions automatisées. La CNDP insiste sur leur contestabilité. Autrement dit, une décision prise par un système algorithmique doit pouvoir être comprise, retracée et, si nécessaire, remise en cause.

Cette exigence touche directement à la manière dont les données sont collectées, organisées, documentées et réutilisées. Elle impose aussi un niveau plus élevé de traçabilité et de lisibilité des traitements.

Ce qui entre dans le cadre de la CNDP

Le cadre de la CNDP commence dès qu’un système d’IA repose sur des données à caractère personnel. Cela peut concerner un outil de recrutement, un dispositif d’évaluation, un service de relation client, un système de scoring, un usage dans la finance, dans les ressources humaines ou dans les services publics. Le critère n’est pas le secteur, mais l’existence d’un traitement de données personnelles.

Sur la question de l’Intelligence Artificielle, la CNDP n’a pas limité son action à un rappel de la loi. Le 18 mars 2025, la Commission a annoncé l’ouverture de travaux en vue d’une délibération sur les traitements d’IA. L’institution explique avoir d’abord conduit un benchmark international et consulté des autorités et instances étrangères de protection des données. Elle prévoit ensuite des auditions auprès d’experts nationaux et internationaux, d’organisations scientifiques, d’organisations professionnelles, d’institutions et d’associations de la société civile.

Par cette méthode, la Commission cherche à préciser un cadre de conformité adapté aux systèmes algorithmiques. La documentation technique, l’analyse d’impact sur la protection des données, le contrôle humain, la capacité à démontrer la conformité et l’intégration du privacy by design dès la phase de conception figurent parmi les principaux points de travail.

Pour les entreprises, cela signifie qu’un projet d’IA ne peut plus être mené comme une expérimentation isolée au sein d’une seule équipe technique. Il suppose d’associer les fonctions juridiques, les équipes métier, la sécurité des systèmes d’information et les responsables de la protection des données.

Des actions qui dépassent le seul encadrement juridique

Le 11 septembre 2025, une convention a été signée à Rabat entre le ministère de la Transition numérique et la CNDP pour le développement d’une plateforme nationale d’intelligence artificielle responsable et d’un framework basé sur un Large Language Model.

L’accord prend en compte la langue et la culture marocaines, le cadre juridique national et l’identité numérique souveraine et vise à mettre à disposition des citoyens, des entreprises et des administrations des outils d’IA générative et conversationnelle sécurisés, performants et respectueux des droits fondamentaux.