Le décret n°2-24-921, adopté par la direction générale de la sécurité des systèmes d'information (DGSSI), instaure un cadre normatif régissant le recours aux services d'informatique en nuage par les infrastructures d'importance vitale. Selon ce texte, «il s'agit d'un régime de qualification imposant aux fournisseurs des exigences strictes lorsqu'ils hébergent, gèrent ou traitent des systèmes d'information sensibles et des données sensibles.» Deux niveaux de prestataires définis par le texte Le décret précise que «lorsque des entités en charge d'infrastructures d'importance vitale utilisent l'informatique en nuage pour héberger, gérer ou exploiter des systèmes d'information sensibles, elles doivent recourir à des prestataires qualifiés de niveau 1.» De même, «lorsque ces entités ont recours à ces services pour le traitement, la gestion ou le stockage de données sensibles, elles doivent utiliser des prestataires qualifiés de niveau 2.» Les conditions sont détaillées. Pour le niveau 1, «les prestataires doivent être des sociétés constituées au Maroc dont l'ensemble des systèmes opérationnels et commerciaux est situé sur le territoire national.» Pour le niveau 2, «ils doivent être détenus majoritairement par des personnes de nationalité marocaine, s'assurer que le traitement, les opérations et le stockage se déroulent au Maroc, et conduire la gestion et la supervision des services depuis le Maroc.» Le décret prévoit «la possibilité pour le roi d'accorder une dérogation aux conditions de détention», sans que ses modalités soient définies. Principes encadrant le recours aux services en nuage Le texte énonce plusieurs priorités à préserver. Il indique que «la liberté de choix doit être garantie, afin que les entités publiques et privées puissent sélectionner les technologies les plus adaptées à leurs besoins, tout en respectant les lois marocaines relatives à la protection des données et à la cybersécurité.» Il précise également que «la promotion de la concurrence est un objectif central, car la limitation artificielle des services réduirait l'incitation à innover et affaiblirait la compétitivité des utilisateurs marocains.» En matière de sécurité, le décret souligne que «le passage à des critères techniques solides est indispensable pour garantir l'accès aux services les plus sûrs et assurer la résilience nationale.» Il insiste sur «l'interopérabilité technologique avec les standards mondiaux, afin de garantir une connectivité optimale entre les acteurs marocains et leurs partenaires étrangers.» Sur le plan juridique, il rappelle que «les exigences relatives à la détention locale et à l'implantation des systèmes doivent demeurer compatibles avec les engagements internationaux du Maroc», citant «l'accord de l'Organisation mondiale du commerce (OMC) sur les mesures liées à l'investissement» et «l'accord général sur le commerce des services (AGCS)» qui encadrent la prestation transfrontière de services informatiques. Enfin, le texte conclut que «la priorité doit être donnée au développement technologique national, à l'attractivité des investissements, à l'accès aux outils numériques mondiaux, à la compétitivité des entreprises marocaines et à la qualité des services rendus aux usagers, dans le respect des lois du Royaume.» Il précise que «la sécurité et la résilience constituent la pierre angulaire du dispositif, plutôt que la mise en place de barrières artificielles.»
