Le droit et l’intelligence artificielle au Maroc : cadre légal et enjeux
Au Maroc, il n’existe pas encore de loi spécifique à l’intelligence artificielle. Le cadre juridique actuel repose sur des textes existants : la loi 09-08 sur la protection des données personnelles, la loi 53-05 sur l’échange électronique, et les dispositions du code du travail. C’est un cadre fragmenté, qui laisse des zones grises importantes pour les entreprises.
Ce que dit le droit marocain aujourd’hui
La loi 09-08 est le texte central. Elle encadre la collecte, le traitement et la conservation des données personnelles. La Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) en est l’autorité de contrôle.
Mais cette loi date de 2009. Elle n’a pas été conçue pour des systèmes d’IA qui traitent des millions de données en temps réel, qui prennent des décisions automatisées sur des candidats à l’emploi, des demandes de crédit, ou des profils clients.
Le problème est là. Les outils existent. Le droit, lui, court derrière.
Un signal récent illustre l’ampleur du défi : selon une étude citée par cio-mag.com, 42 % des utilisateurs d’IA en entreprise au Maroc importent des documents complets dans des outils externes non contrôlés. Des données clients, des contrats, des informations RH. Sans encadrement, sans traçabilité, sans base légale claire.
C’est ce qu’on appelle l’IA non encadrée. Et elle est déjà dans vos équipes.
Les textes qui s’appliquent, faute de mieux
En l’absence d’une loi IA dédiée, voici les textes que les juristes marocains mobilisent aujourd’hui :
La loi 09-08 sur les données personnelles
Elle impose le consentement, la finalité limitée, et le droit d’accès. Tout système d’IA qui traite des données personnelles de citoyens marocains doit en principe faire l’objet d’une déclaration à la CNDP au titre du traitement de données personnelles. En pratique, peu d’entreprises le font pour leurs outils IA.
La loi 53-05 sur l’échange électronique
Elle reconnaît la valeur juridique des documents électroniques et des signatures numériques. Elle s’applique aux contrats conclus via des plateformes automatisées.
Le code du travail
Il ne mentionne pas l’IA. Mais les questions de surveillance des salariés par des outils algorithmiques, ou de décisions automatisées dans les processus de recrutement ou de licenciement, tombent dans son champ. Les tribunaux n’ont pas encore eu à trancher ces cas au Maroc. Ce n’est qu’une question de temps.
La loi 05-20 sur la cybersécurité
Adoptée en 2020, elle crée un cadre pour la sécurité des systèmes d’information. Elle s’applique aux opérateurs d’importance vitale. Indirectement, elle touche les infrastructures IA déployées dans des secteurs sensibles.
J’ai construit un cadre de diagnostic en 6 dimensions pour aider les dirigeants à évaluer leur exposition réglementaire IA. Téléchargez le Board Pack IA 2026.
Ce que font les autres pays : un référentiel utile
L’Union européenne a adopté l’AI Act en 2024. C’est le premier cadre réglementaire complet au monde sur l’IA. Il classe les systèmes par niveau de risque : inacceptable, élevé, limité, minimal. Les entreprises marocaines qui exportent vers l’Europe ou qui traitent des données de citoyens européens peuvent être concernées selon la nature de leurs activités et le périmètre territorial de leurs opérations.
En Afrique, le Sénégal a pris position lors du GPAI (Global Partnership on Artificial Intelligence) pour une gouvernance de l’IA qui respecte les souverainetés nationales. Le Maroc participe à ces discussions, mais n’a pas encore traduit cette position en texte législatif.
La Tunisie et le Rwanda avancent sur des stratégies nationales IA avec des volets réglementaires. Le Maroc dispose d’une Stratégie Nationale IA depuis 2019, mais elle reste peu contraignante sur le plan juridique.
Ce que ça change concrètement pour votre entreprise
Si vous êtes CEO ou DRH au Maroc, voici les questions que vous devriez poser à votre équipe juridique dès maintenant.
Premier point : quels outils IA utilisent vos équipes, et sur quelles données ? Si vous ne le savez pas, vous avez déjà un problème de gouvernance de l’IA.
Deuxième point : vos contrats fournisseurs IA prévoient-ils des clauses de localisation des données, de confidentialité, de responsabilité et d’imputabilité en cas d’erreur algorithmique ? La plupart des contrats SaaS standards ne le font pas.
Troisième point : si vous utilisez des outils algorithmiques de recrutement, comme je l’analysais dans mon article sur les avantages de l’IA dans le recrutement, vous devez vous assurer que ces systèmes ne créent pas de discrimination indirecte. Ce n’est pas qu’une question éthique. C’est une exposition légale réelle.
Quatrième point : si vous traitez des données de clients ou de partenaires européens, l’AI Act peut vous concerner selon le type d’usage et le périmètre de vos activités. Vérifiez avec votre conseil juridique.
Ce qui arrive : les signaux à surveiller
Le Maroc est en train de construire son écosystème IA à grande vitesse. Le distributeur technologique kényan Mitsumi a choisi le Maroc pour étendre son réseau dans l’infrastructure numérique, l’informatique en nuage, la cybersécurité et l’intelligence artificielle. Des événements comme l’AI:Casablanca, qui veut ouvrir le débat sur l’avenir du travail à l’ère de l’IA, et le GenZ AI Summit 2026 où Orange Maroc réunit experts, entreprises et institutions autour des enjeux de l’IA, montrent que la réflexion collective s’organise.
La pression réglementaire va suivre. Elle vient de trois directions : les partenaires européens qui imposent leurs standards, les investisseurs qui demandent des garanties de conformité, et les citoyens qui commencent à poser des questions sur l’utilisation de leurs données.
Les entreprises qui attendent une loi pour se structurer prendront du retard. Celles qui anticipent construisent un avantage.
Pour les PME qui veulent comprendre comment intégrer l’IA dans leurs opérations tout en maîtrisant les risques, mon guide sur les avantages de l’IA pour les PME pose les bases.
Si vous voulez structurer votre approche réglementaire IA avant que la loi vous y oblige, demandez un diagnostic gratuit.
FAQ
Existe-t-il une loi spécifique sur l’IA au Maroc ?
Non. En 2026, le Maroc ne dispose pas encore d’une loi dédiée à l’intelligence artificielle. Le cadre juridique applicable repose sur la loi 09-08 (données personnelles), la loi 53-05 (échange électronique) et la loi 05-20 (cybersécurité).
Les entreprises marocaines sont-elles concernées par l’AI Act européen ?
Cela dépend de leurs activités. L’AI Act peut s’appliquer selon le critère de l’impact territorial : une entreprise marocaine qui traite des données de citoyens européens ou exporte des services vers l’UE peut être dans son périmètre. Chaque situation mérite une analyse juridique spécifique.
Que risque une entreprise qui utilise l’IA sans encadrement au Maroc ?
Aujourd’hui, les sanctions restent limitées faute de texte spécifique. Mais l’exposition existe : violation de la loi 09-08, risque contractuel avec des partenaires étrangers, et responsabilité civile en cas de préjudice causé par une décision algorithmique.
La CNDP contrôle-t-elle les outils d’IA ?
La CNDP contrôle le traitement des données personnelles. Un système d’IA qui traite de telles données entre dans son champ de compétence. La CNDP n’a pas encore publié de doctrine spécifique à l’IA, mais elle a la capacité d’intervenir sur la base des textes existants.