Alors que le Royaume continue sa progression vers la souveraineté numérique, la gouvernance des données s'impose comme une question cruciale, d'autant plus à la lumière des récentes fuites touchant plusieurs institutions publiques. Focus sur le cœur invisible de la souveraineté digitale. En quelques années, le Maroc s'est hissé au rang de premier pays africain en nombre de datacenters. Derrière cette avancée, portée principalement par des opérateurs télécoms comme Maroc Telecom ou Inwi, mais aussi des acteurs spécialisés tels que Medasys ou N+One, se dessine l'ambition assumée de faire du Royaume un hub numérique continental. Mais si ces infrastructures marquent des progrès notables, l'économie de la donnée, elle, reste encore peu explorée, peu exploitée. C'est dans ce contexte que les Assises nationales de l'Intelligence Artificielle (IA), qui se sont déroulées la semaine dernière à Salé, ont appelé à mettre en place des plateformes nationales sécurisées, encourager les investissements dans les centres de données orientés vers la recherche en IA, et surtout renforcer les capacités nationales en cybersécurité. L'objectif étant de protéger les infrastructures numériques et prévenir les failles, comme celles déjà révélées dans des institutions aussi sensibles que la CNSS ou le ministère de la Justice.
Un enjeu de souveraineté numérique Dans cette dynamique, la gouvernance des données apparaît comme un levier central, estime Nacer Zeriouh, docteur en droit public et spécialiste du droit des technologies, la qualifiant de « pilier essentiel de l'Etat de droit à l'ère numérique ». Et au moment où la souveraineté numérique fait partie des grandes priorités de Rabat, notre interlocuteur note qu'elle entretient une relation d'interdépendance étroite avec la gouvernance des données, qui peine à prendre son élan au Maroc. « Dans un monde où les risques de cyberattaques s'inscrivent dans une courbe croissance, les garde-fous s'imposent et ce contrôle effectif ne peut être assuré que par une gouvernance rigoureuse des données, définissant clairement les règles de collecte, d'usage, de stockage, de protection et de partage des informations », appuie Abdellah Elamri, « security expert » et analyste de risques. Cette gouvernance débute, selon notre expert, par la mise en place d'un cadre normatif, à l'ère du temps, qui prend en considération le caractère évolutif du digital.
Un cadre juridique à moderniser Le Maroc ne part pourtant pas de zéro. Le pays s'est doté d'un arsenal juridique dense et structuré, allant de la loi 09-08 sur la protection des données personnelles à la loi 53-05 qui encadre l'échange électronique et la valeur probante de la signature numérique. S'y ajoutent la loi 43-20 sur les services de confiance, la loi 31-13 sur l'accès à l'information, ou encore la charte des services publics (loi 54-19) qui inscrit la digitalisation au cœur de la transformation de l'administration. La loi 55-19, de son côté, s'attaque à la simplification des procédures administratives, tandis que la loi 05-20 sur la cybersécurité encadre l'usage des services cloud, pierre angulaire de la gouvernance numérique.Un socle important, certes, mais qui montre aujourd'hui ses limites. « La loi 09-08, après plus de seize ans d'existence, mérite une profonde révision », affirme Nacer Zeriouh. Parmi les ajustements nécessaires, figurent l'élargissement du champ d'application à l'extraterritorialité, l'introduction de droits nouveaux comme le droit à l'oubli, ou encore la création de régimes juridiques différenciés selon les types de données sensibles (santé, justice, sécurité nationale, etc.). Pour renforcer l'efficacité de la gouvernance, le Maroc gagnerait aussi à redéfinir les prérogatives de la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel). Le modèle français fait ici figure de référence. « Comme la CNIL en France, la CNDP devrait pouvoir exercer un véritable pouvoir de contrôle, de sanction et de régulation », plaide le chercheur.
Infrastructures first ! Pour l'heure, le premier jalon vers une véritable souveraineté numérique au Maroc reste le contrôle et la territorialisation des données. Une étape incontournable qui passe par la création de data centers capables d'héberger les informations les plus sensibles, tout en les protégeant efficacement contre les risques de piratage, d'intrusion ou de détournement. En ce sens, la loi 05-20 relative à la cybersécurité insiste que les données sensibles doivent être exclusivement stockées sur le territoire national.Une orientation saluée par Az-Eddine Bennani, économiste et expert en la matière, qui rappelle que ces centres de données « renferment des informations sensibles qui influencent les décisions économiques, administratives et personnelles ». Mieux encore, il plaide pour l'adoption d'un modèle économique des « dataires ». Une approche centrée sur une gestion éthique et sécurisée de la donnée, intégrant à la fois des exigences de souveraineté et de responsabilité. Cela dit, le Royaume s'apprête à franchir un cap dans sa souveraineté avec la création d'un centre de données hyperscale à Dakhla, d'une capacité impressionnante de 500 mégawatts, entièrement alimenté par des énergies renouvelables locales. Ce projet, dont l'enveloppe n'a pas encore été dévoilée, s'ajoute au méga investissement national de 11 milliards de dirhams prévu entre 2024 et 2026 et destiné à déployer la stratégie de transformation numérique du pays. Une nouvelle étape structurante, vers une souveraineté numérique assumée. 3 questions à Nacer Zeriouh, docteur en droit public et spécialiste du droit des technologies : « Le Maroc gagnerait à examiner des expériences réussies telles que celle de la Corée du Sud » * Le modèle européen est souvent cité comme une référence en matière de gouvernance des données. Quels en sont les fondements ? L'Union Européenne a bâti une gouvernance des données articulée autour de trois piliers : la protection des données personnelles, la gouvernance du partage des données, et le développement d'un marché des données non personnelles. Ce cadre s'appuie sur plusieurs textes majeurs, notamment le RGPD pour la protection des données individuelles, le Data Governance Act qui encadre le partage sécurisé des données, et le Data Act qui vise une utilisation équitable des données industrielles. Le règlement sur l'Intelligence Artificielle (AI Act) complète cette architecture en assurant un usage responsable des données. L'ensemble repose sur une gouvernance institutionnelle mobilisant la Commission Européenne, le Parlement et le Conseil de l'UE, ainsi que des organes spécialisés comme l'EDPB, l'EDPS et l'ENISA. Le Data Innovation Board, enfin, supervise les espaces européens de données et l'élaboration de standards communs pour garantir l'interopérabilité et la souveraineté numérique.
* Le modèle européen est-il le seul référentiel pertinent pour le Maroc ou d'autres approches internationales méritent-elles d'être explorées ? Pas du tout, le Maroc gagnerait à examiner des expériences réussies telles que celle de la Corée du Sud, dont le modèle repose sur une articulation efficace entre stratégie numérique, législation des données et gouvernance centralisée. La Corée du Sud s'est en effet dotée, ces dernières années, d'un dispositif juridique couvrant les données personnelles, publiques et industrielles, tout en assurant une gouvernance équilibrée entre innovation technologique et protection des droits fondamentaux. La stratégie nationale baptisée «Data Dam» incarne cette vision, en visant la collecte, la structuration et la mutualisation massive de données issues de sources publiques, privées et industrielles, au service du développement socio-économique et de la compétitivité numérique.
* On parle beaucoup des données personnelles, mais qu'en est-il des données non personnelles ? Ne sont-elles pas négligées ? A ce jour, le Maroc ne dispose pas d'un cadre spécifique des données non personnelles. Les textes existants, ou certaines dispositions sectorielles ne constituent que des fragments réglementaires, sans approche transversale ni institutionnalisation claire du pilotage, du partage ou de la valorisation de ces données à l'échelle nationale.Dans cette perspective, le Maroc est censé instituer un cadre juridique et institutionnel de gouvernance des données non personnelles aligné sur les standards et les meilleures pratiques internationaux, afin de garantir l'interopérabilité, la conformité, la transparence, et la valorisation optimale du patrimoine informationnel de l'Etat. Enfin, la politique marocaine de données devrait être fondée sur des valeurs universelles, en lien avec le respect des droits de l'Homme et de la dignité humaine, telles que l'égalité, l'équité, le développement, la diversité, la liberté, la transparence et la responsabilité. Afrique : Le Maroc, leader des data centers certifiés Tier Le standard Tier d'Uptime Institute classe les data centers en quatre niveaux selon leur fiabilité, du Tier I (base) au Tier IV (excellence), avec des temps d'arrêt annuels variant de 29 heures à seulement 26 minutes. Le Maroc compte aujourd'hui 23 data centers certifiés, devançant l'Afrique du Sud et s'imposant comme la première terre d'accueil du continent. Cette progression résulte d'une stratégie volontariste initiée en 2020 avec la feuille de route de l'Agence de Développement du Digital, accompagnée d'incitations fiscales dans la Charte nationale de l'investissement. La loi de 2021 sur l'hébergement des données sensibles sur le territoire national a renforcé la souveraineté numérique et stimulé la demande locale. Les régions de Casablanca-Settat et Rabat-Salé-Kénitra concentrent l'essentiel des infrastructures, tandis que d'autres zones émergent, à l'image de l'investissement de 500 millions de dollars à Tétouan.Ce boom s'inscrit dans une transformation digitale plus vaste, portée par le programme Digital Morocco 2030 et des événements majeurs comme GITEX Africa 2025, faisant du Maroc un hub numérique incontournable en Afrique. Cadre institutionnel : Socle de la gouvernance Au Maroc, la gouvernance de la donnée repose sur un ensemble d'institutions qui constituent le socle opérationnel et réglementaire de la protection et de la gestion des données. Sur le plan institutionnel, plusieurs départements, autorités et organismes publics jouent un rôle clé dans la mise en œuvre du cadre législatif relatif aux données. Il s'agit notamment du ministère de la Transition Numérique et de la Réforme de l'Administration, de la Direction Générale de la Transition Numérique, de l'Agence pour le Développement du Digital au Maroc, de la Direction Générale de la Sécurité des Systèmes d'Information, de l'Agence Nationale de Réglementation des Télécommunications, de la Commission Nationale pour le Développement Numérique, ainsi que de la Commission Nationale de Contrôle de la Protection des Données à caractère Personnel (CNDP). Cette dernière est investie de la mission spécifique de veiller à la légalité des traitements des données personnelles, en s'assurant qu'ils respectent la vie privée, les libertés et les droits fondamentaux de l'Homme. Ces institutions forment l'ossature de la gouvernance de la donnée dans le pays, en assurant à la fois le pilotage stratégique, la régulation, la mise en œuvre technique et le contrôle de la conformité. Par ailleurs, la Cour des Comptes et les instances de gouvernance prévues par le Titre XII de la Constitution (articles 154 à 171), telles que le Conseil de la Concurrence, le Conseil Economique, Social et Environnemental, ainsi que l'Institution du Médiateur, interviennent de manière transversale pour garantir la transparence, la redevabilité et l'accès à l'information. Enfin, le Haut-Commissariat au Plan assure un rôle structurant en tant que producteur officiel des données statistiques au Maroc, contribuant à la consolidation d'un écosystème national de la donnée fiable, partagé et au service du développement.
