AvocatLib
affaires14 دقيقة قراءة

الأمن السيبراني في الشركة بالمغرب: متى يصبح التزاماً قانونياً وما الذي يعرّضك للعقوبات؟

بقلم Yasmine El Khattabi

محررة قانونية أولى

نُشر في
الأمن السيبراني في الشركة بالمغرب: متى يصبح التزاماً قانونياً وما الذي يعرّضك للعقوبات؟

مقدمة: الأمن السيبراني في المغرب لم يعد مسألة تقنية فقط

هناك مفارقة واضحة في السوق المغربي. المقاولات تتجه بسرعة نحو الرقمنة: فواتير إلكترونية، منصات بيع عن بعد، أنظمة موارد بشرية سحابية، كاميرات مراقبة ذكية، تطبيقات لتدبير الزبناء، وأرشفة رقمية للوثائق. لكن في المقابل، الوعي القانوني بمخاطر هذه الرقمنة ما زال متأخراً عند عدد كبير من الشركات، خصوصاً لدى المقاولات الصغرى والمتوسطة. كثير من المسيرين لا يكتشفون أن الأمن السيبراني وحماية المعطيات ذات الطابع الشخصي التزام قانوني إلا بعد وقوع اختراق، أو بعد توصلهم بمراسلة من اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي، أو أثناء نزاع مع زبون أو أجير.

في سياق Digital Nation Maroc وطموح المغرب إلى التحول إلى قطب رقمي إقليمي، لم يعد مقبولاً أن تبقى المقاولة تتعامل مع أمن نظم المعلومات باعتباره ملفاً تقنياً داخلياً يهم المعلوميات وحدها. عملياً، المسألة تمس القانون الجنائي، والمسؤولية المدنية، وقانون الشغل، والصفقات، وحوكمة الشركة، وحتى سمعتها التجارية. والأخطر أن النصوص موجودة فعلاً، وبعضها صارماً، لكن كثيرين لا يقرأونه إلا متأخرين.

وفق المعطيات المنشورة من طرف DGSSI وتقارير maCERT، يظل المغرب من بين البلدان الإفريقية الأكثر استهدافاً بالهجمات السيبرانية، بحكم دينامية الاقتصاد الرقمي وتوسع الخدمات المتصلة بالشبكات. هذا يعني أن السؤال لم يعد: هل يمكن أن أتعرض لهجوم؟ بل: ماذا فعلت قانونياً وتنظيمياً قبل أن يقع الهجوم؟ هنا يظهر الفرق بين شركة اكتفت بمضاد فيروسات وبين شركة بنت مطابقة قانونية رقمية حقيقية.

بعبارة أوضح: الأمن السيبراني اليوم ليس رفاهية تقنية، ولا مجرد بند في ميزانية المعلوميات. إنه التزام قانوني قد يترتب عن الإخلال به غرامات ثقيلة، ومتابعات زجرية، ومطالبات بالتعويض، بل وحتى مساءلة شخصية للمسيرين في بعض الحالات. وسنرى في هذا المقال كيف ينظم القانون المغربي هذا المجال، وما الفرق بين اختصاصات CNDP وDGSSI، وما هي العقوبات الممكنة، ثم الأهم: كيف تبدأ المقاولة المغربية مسار الامتثال بشكل عملي وواقعي.

المفارقة الرقمية المغربية: رقمنة سريعة ووعي قانوني بطيء

في الممارسة اليومية، نرى مقاولات تتوفر على موقع إلكتروني، ونظام CRM، وقاعدة بيانات للزبناء، وتطبيقات تتبع المستخدمين، لكنها لم تقم قط بأي تصريح لدى CNDP. ونرى شركات تعتمد مزودين أجانب للحوسبة السحابية دون أي عقد واضح بخصوص معالجة المعطيات أو التدابير الأمنية أو مكان الاستضافة. ونرى أيضاً مسيرين يعتقدون أن الشركة الصغيرة غير معنية لأن القانون، في تصورهم، يهم فقط الأبناك والاتصالات. هذا فهم غير دقيق. القانون 09-08 لا يشترط حجماً معيناً للمقاولة حتى يطبق عليها، بل يكفي أن تقوم بمعالجة معطيات شخصية تخص أشخاصاً ذاتيين: أسماء، أرقام هواتف، بريد إلكتروني، ملفات الأجراء، كاميرات المراقبة، بيانات الموردين، أو بيانات الزبناء.

ماذا تخاطر به شركتك فعلياً في 2024 و2025؟

الخطر هنا مزدوج. أولاً، خطر تنظيمي وزجري: إنذار، مراقبة، إحالة على القضاء، وغرامات قد تصل في بعض الحالات إلى مئات الآلاف من الدراهم، بل أكثر بالنسبة للجهات الخاضعة للقانون 05-20. ثانياً، خطر تعاقدي وتجاري: فقدان ثقة الزبناء، فسخ عقود، مشاكل مع الشركاء الدوليين، وصعوبة الولوج إلى بعض الصفقات التي تشترط حدّاً أدنى من النضج في السياسات الأمنية وحماية المعطيات. لهذا فإن الحديث عن conformité numérique entreprise Maroc لم يعد ترفاً لغوياً مستورداً من أوروبا، بل صار جزءاً من إدارة المخاطر القانونية داخل الشركة المغربية.

الإطار القانوني المغربي للأمن السيبراني: ركيزتان أساسيتان

القانون 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي

الركيزة الأولى هي القانون رقم 09-08 الصادر بتنفيذه الظهير الشريف رقم 1-09-15 بتاريخ 22 صفر 1430 الموافق لـ18 فبراير 2009، والمنشور بالجريدة الرسمية عدد 5711 بتاريخ 5 مارس 2009. هذا النص هو الأساس في loi 09-08 protection données personnelles Maroc. وهو لا يتحدث عن الأمن السيبراني بالمفهوم التقني المحض فقط، بل يضع قواعد قانونية لمعالجة المعطيات الشخصية: من يحق له جمعها، ولماذا، وكيف، وإلى متى، وبأي ضمانات.

هذا القانون يقوم على مبادئ معروفة في حماية المعطيات: المشروعية، تحديد الغرض، التناسب، صحة المعطيات، مدة الاحتفاظ، السرية، والأمن. والأهم بالنسبة للمقاولات هو أن هذه المبادئ ليست شعارات. إنها التزامات قابلة للمراقبة والترتيب عليها جزاءات.

تنص المادة 23 من القانون 09-08 على أن المسؤول عن المعالجة ملزم باتخاذ جميع الاحتياطات اللازمة، بالنظر إلى طبيعة المعطيات والمخاطر التي تطرحها المعالجة، للمحافظة على أمن المعطيات، ولا سيما لمنع تحريفها أو إتلافها أو الاطلاع عليها من قبل الغير غير المأذون لهم.

هذه المادة بالذات هي قلب الالتزام الأمني في القانون المغربي. وهي تعني، عملياً، أن الشركة لا يكفيها أن تجمع المعطيات بشكل مشروع؛ بل يجب أن تؤمنها تقنياً وتنظيمياً. وهنا يقع الخلط عند كثير من الفاعلين: يظنون أن التصريح لدى CNDP وحده يكفي. غير صحيح. التصريح جزء من الامتثال، أما تدابير الأمن فهي جزء آخر لا يقل أهمية.

ومن جهة أخرى، يميز القانون بين المعالجات العادية والمعالجات الحساسة. فالمعطيات المتعلقة بالصحة، أو المعطيات البيومترية، أو السوابق القضائية، أو بعض المعطيات ذات الحساسية الخاصة، تخضع لنظام أكثر صرامة يتطلب ترخيصاً مسبقاً لا مجرد تصريح.

القانون 05-20 المتعلق بالأمن السيبراني: النص الذي لا يقرؤه كثيرون

الركيزة الثانية هي القانون رقم 05-20 المتعلق بالأمن السيبراني، الصادر بتنفيذه الظهير الشريف رقم 1-20-69 بتاريخ 9 ذي الحجة 1441 الموافق لـ30 يوليوز 2020، والمنشور بالجريدة الرسمية عدد 6904 بتاريخ 6 غشت 2020. هذا النص أحدث نقلة مهمة في loi 05-20 cybersécurité Maroc لأنه لم يعد يكتفي بحماية المعطيات الشخصية، بل انتقل إلى تأمين نظم المعلومات الحساسة والبنيات الحيوية الرقمية.

القانون 05-20 يستهدف بالأساس الإدارات العمومية، والجماعات الترابية، والمؤسسات والمقاولات العمومية، ثم مشغلي البنيات التحتية ذات الأهمية الحيوية أو ما يقابل في الممارسة مفهوم Opérateurs d’Importance Vitale. هنا ندخل إلى قطاعات مثل الطاقة، الماء، الصحة، النقل، المالية، الاتصالات، وبعض الخدمات الرقمية الحيوية. كما أن أثر هذا القانون قد يمتد بشكل غير مباشر إلى متعهدي الخدمات الرقمية الذين يشتغلون لفائدة هذه الجهات، لأن العقود والدفاتر التقنية قد تفرض عليهم شروطاً مستمدة من مرجعيات DGSSI.

المادة 3 من القانون 05-20 تعرّف نظم المعلومات ذات الأهمية الحيوية باعتبارها النظم أو البنيات أو التجهيزات أو الشبكات أو الأنظمة المرتبطة بها التي من شأن المساس بها أو بعملها أن يؤثر بشكل خطير على السير العادي للحياة الاقتصادية أو الاجتماعية أو الأمنية للدولة.

في الواقع العملي، ليس كل مقاولة مغربية خاضعة مباشرة للقانون 05-20. لكن الخطأ الشائع هو الاعتقاد بأن عدم الخضوع المباشر يعني عدم وجود أي التزام. هذا غير دقيق. قد تكون الشركة غير معنية كـ OIV، لكنها معنية بقوة بالقانون 09-08، وقد تلتزم تعاقدياً باحترام معايير أمنية إذا كانت تشتغل مع قطاع منظم أو مع جهة عمومية أو مع بنك أو شركة تأمين.

أذكر هنا حالة متكررة في الممارسة: مكتب مهني بالدار البيضاء كان يظن أنه خارج أي التزام لأنه “صغير”. لكن تبين أنه يعالج ملفات زبناء، ووثائق هوية، وعقوداً، وبيانات مالية، ويستعمل خدمة سحابية أجنبية دون شروط تعاقدية واضحة. النتيجة؟ هو بالفعل غير مصنف ضمن البنيات الحيوية، لكنه خاضع من الباب الواسع للقانون 09-08، ومعرض لمسؤولية جدية إذا وقع تسريب أو اختراق.

كيف يلتقي القانونان؟

العلاقة بين القانونين تكاملية. القانون 09-08 يحمي الأشخاص الذاتيين عندما تعالج معطياتهم الشخصية. القانون 05-20 يحمي أمن نظم المعلومات الحساسة والبنيات الرقمية ذات الأثر الحيوي. قد تجد شركة خاضعة لأحدهما فقط، وقد تجد شركة خاضعة لهما معاً. مثال واضح: مؤسسة صحية خاصة كبيرة تحتفظ بملفات طبية رقمية وتدير منصة مواعيد واتصال مع المرضى. هنا توجد معطيات شخصية حساسة تخضع للقانون 09-08، وقد توجد أيضاً التزامات أمنية معززة إذا كانت البنية تدخل ضمن النطاق الذي تحدده النصوص التطبيقية والمرجعيات الوطنية.

لهذا لا ينبغي اختزال النقاش في سؤال واحد: هل أصرّح لدى CNDP أم لدى DGSSI؟ الجواب أحياناً: لدى الأولى، وأحياناً لدى الأولى والثانية، وأحياناً تكون المسؤولية الأساسية تجاه CNDP مع التزامات أمنية تعاقدية أو قطاعية مستمدة من DGSSI أو من مناشير تنظيمية أخرى.

الالتزامات العملية على الشركات المغربية في مجال الأمن السيبراني

أولاً: الالتزامات الناتجة عن القانون 09-08

كل شركة مغربية تعالج معطيات ذات طابع شخصي، كيفما كان حجمها تقريباً، تجد نفسها أمام التزام أساسي: التصريح المسبق أو الترخيص المسبق بحسب طبيعة المعالجة. في الممارسة، الملفات المتعلقة بالموارد البشرية، بيانات الزبناء، قواعد بيانات الموردين، كاميرات المراقبة، التسجيلات الهاتفية، برامج الولاء، النشرات الإخبارية، كلها قد تدخل في نطاق المعالجة التي تستدعي إجراءً لدى CNDP obligations entreprises marocaines.

المادتان 12 و13 من القانون 09-08 تؤطران مبدأ التصريح المسبق ببعض المعالجات لدى اللجنة الوطنية، بينما المادة 14 تفرض الترخيص المسبق بالنسبة لبعض المعالجات الخاصة، ولا سيما المعطيات الحساسة.

عملياً، يتم الإيداع عبر بوابة cndp.ma. الإجراء في حد ذاته مجاني من حيث الرسوم الإدارية، لكن تحضير الملف ليس أمراً شكلياً بسيطاً. يجب تحديد المسؤول عن المعالجة، الغرض من المعالجة، أصناف المعطيات، الأشخاص المعنيين، المتلقين، مدة الاحتفاظ، التدابير الأمنية، وإمكانية نقل المعطيات إلى الخارج إن وجدت. هنا تقع الأخطاء عادة: تصنيف خاطئ للمعالجة، وصف عام ومبهم، أو إغفال استعمال مزود سحابي أجنبي.

أما إذا كانت المعالجة تشمل معطيات حساسة، فالأمر أكثر دقة. المادة 14 تفرض الترخيص المسبق لبعض المعالجات المتعلقة خصوصاً بالصحة أو البيومترية أو المعطيات القضائية. هذه الملفات تستغرق في الغالب مدة أطول للدراسة، وقد تطلب CNDP وثائق إضافية أو توضيحات تقنية وقانونية.

ومن الالتزامات الجوهرية كذلك، واجب إعلام الأشخاص المعنيين بحقوقهم: من يجمع معطياتهم؟ لأي غرض؟ هل المعطيات إلزامية أم اختيارية؟ ما هي حقوق الولوج والتصحيح والاعتراض؟ هذا الواجب لا يطبق فقط في المواقع الإلكترونية؛ بل أيضاً في استمارات التوظيف، وعقود الزبناء، وكاميرات المراقبة، والاستبيانات، والمنصات الداخلية.

ثم نصل إلى النقطة الأهم: واجب الأمن المنصوص عليه في المادة 23. ماذا يعني هذا عملياً؟ يعني أن على الشركة اعتماد تدابير تقنية وتنظيمية مناسبة: كلمات مرور قوية، إدارة الصلاحيات، تشفير عند الاقتضاء، نسخ احتياطية منتظمة، فصل الحسابات، تتبع الولوجات، تحديث الأنظمة، تأمين البريد الإلكتروني المهني، حماية الولوج عن بعد، وتوثيق الإجراءات الداخلية. نعم، التوثيق مهم جداً. أمام المراقب أو القاضي، ما لا يمكن إثباته يكاد يكون كأنه غير موجود.

أما المادة 24 فتثير نقاشاً مهماً في موضوع خرق المعطيات. فهي تفرض منطقياً حماية حقوق المعنيين وإحاطتهم علماً في الحالات التي تمس مصالحهم، لكن النص المغربي لا يضع إلى اليوم أجلاً دقيقاً مماثلاً لقاعدة 72 ساعة المعروفة في اللائحة الأوروبية GDPR. هذا فراغ تشريعي نسبي، ويجب التعامل معه بحذر: التأخر غير المبرر في الإشعار قد يفسر كإهمال أو سوء نية، خصوصاً إذا ترتب عن الخرق ضرر واضح للأشخاص.

ثانياً: الالتزامات الخاصة بالقانون 05-20 بالنسبة للجهات المعنية

بالنسبة للهيئات الخاضعة للقانون 05-20، الالتزامات أكثر تقنية وتنظيماً. وهي لا تقف عند إعلان نوايا عامة من قبيل “لدينا سياسة أمنية”. النص يفرض مساراً مؤسسياً وتدابير قابلة للقياس.

المادة 4 من القانون 05-20 تتحدث عن إلزامية تأهيل أو اعتماد نظم المعلومات الحساسة وفق الشروط والكيفيات المحددة تنظيمياً، تحت إشراف السلطة الوطنية المختصة في الأمن السيبراني.

كما تفرض المادة 6 إنجاز افتحاصات أمنية دورية بواسطة جهات أو خبراء معتمدين، بينما تنظم المادة 7 التصريح بالحوادث السيبرانية إلى الجهة المختصة، عملياً عبر آليات maCERT التابعة لـ DGSSI. وهنا تظهر أهمية المرسوم رقم 2-21-406 بتاريخ 15 نونبر 2021 الصادر لتطبيق القانون 05-20، لأنه يوضح جوانب إجرائية وتقنية لا يلتفت إليها كثيرون رغم أنها أساسية في الممارسة.

الشركة أو المؤسسة المعنية مطالبة بوضع سياسة أمن نظم المعلومات أو PSSI، وهي ليست مجرد وثيقة للعرض على الزوار. بل يفترض أن تتضمن تصنيف الأصول المعلوماتية، تدبير الولوجات، إدارة كلمات المرور، حماية المحطات والشبكات، خطط النسخ الاحتياطي والاستمرارية، تدبير الحوادث، شروط التعاقد مع المتعهدين، وآليات التحسيس والتكوين. في عدد من الملفات، يتراوح إعداد PSSI مهنية لمقاولة متوسطة بين شهرين وأربعة أشهر إذا كان هناك مواكبة خارجية جدية.

من الناحية المالية، كلفة افتحاص أمني أو إعداد PSSI لمقاولة صغيرة أو متوسطة في المغرب قد تتراوح تقريباً بين 30.000 و80.000 درهم بحسب حجم النظام وتعقيد العمليات. أما المواكبة القانونية والتقنية الأشمل، التي تشمل التدقيق، والتصريحات لدى CNDP، وصياغة الوثائق الداخلية والعقود، فقد تصل إلى 50.000 إلى 150.000 درهم بالنسبة لـ PME، وترتفع أكثر بالنسبة للمؤسسات الكبرى أو القطاعات المنظمة. قد يبدو الرقم مزعجاً للبعض، لكن بالمقارنة مع تكلفة التسريب أو الغرامات أو توقف الخدمة، فهو غالباً أقل بكثير.

ثالثاً: الالتزام بالتصريح بالحوادث السيبرانية

من أكثر النقاط التي يساء فهمها في السوق المغربي مسألة obligation déclaration incident cybersécurité Maroc. عند وقوع هجوم فدية، أو اختراق حسابات بريدية، أو تسريب قاعدة بيانات، أو توقف خدمة أساسية، لا يكفي أن يستدعي المدير التقني مزود الخدمات ليعيد تشغيل السيرفر. هناك بعد قانوني وتنظيمي يجب تفعيله بسرعة.

بالنسبة للجهات الخاضعة للقانون 05-20، يجب التصريح بالحادث لدى maCERT داخل أجل معقول. صحيح أن مفهوم “الأجل المعقول” يترك هامشاً للتقدير، وهذا من أوجه الغموض التي ما زالت تستدعي مزيداً من التوضيح التنظيمي، لكن التأخر الطويل دون مبرر قد يفاقم الوضع. ومن جهة المعطيات الشخصية، إذا كانت البيانات المسربة أو المخترقة تخص أشخاصاً ذاتيين، فينبغي تقييم مدى وجوب إخبار المعنيين، وتوثيق كل الوقائع والإجراءات المتخذة.

في الممارسة الجيدة، أي شركة جادة يجب أن تتوفر على خطة استجابة للحوادث: من يقرر؟ من يخطر؟ من يحفظ الأدلة؟ من يتواصل مع الزبناء؟ من يتصل بالمحامي؟ ومن ينسق مع مزود الخدمة أو الخبير الجنائي الرقمي؟ هذه الأسئلة يجب أن تُحسم قبل الأزمة، لا أثناءها.

CNDP وDGSSI: شرطيان مختلفان للامتثال الرقمي

CNDP: سلطة حماية المعطيات الشخصية

اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي هي الهيئة المكلفة بالسهر على تطبيق القانون 09-08. اختصاصها يتركز على مشروعية المعالجة، احترام حقوق الأشخاص، والتأكد من وجود ضمانات أمنية وتنظيمية مناسبة. ولها صلاحيات فعلية في المراقبة والتحري.

المواد من 30 إلى 35 من القانون 09-08 تمنح للجنة صلاحيات البحث والمراقبة والاطلاع على الوثائق والمعاينات، مع مراعاة الضمانات القانونية الواجبة.

عملياً، قد تطلب CNDP من الشركة تقديم ملف المعالجة، أو ما يثبت التصريح، أو عقود المناولة مع مزودي الخدمات، أو نماذج الإشعارات الموجهة للأشخاص المعنيين، أو بياناً للتدابير الأمنية المعتمدة. وفي بعض الحالات توجه إعذاراً أو تطلب تسوية الوضعية داخل أجل محدد. في ملف رافقته بالرباط، توصلت شركة للتجارة الإلكترونية بطلب لإبراز سجل معالجاتها ووثائقها التعاقدية مع مزود الاستضافة. المشكلة أن هذا السجل لم يكن موجوداً أصلاً، مع أن القانون 09-08 لا يفرضه حرفياً كما يفعل GDPR. لكن غيابه جعل الدفاع عن حسن النية أصعب بكثير.

لهذا أنصح دائماً بإعداد سجل داخلي للمعالجات حتى وإن لم يكن منصوصاً عليه بالشكل الأوروبي الصارم. هو أداة إثبات ممتازة، ويسهل الرد على أسئلة CNDP، ويكشف للشركة نفسها ما لا تعرفه عن تدفقات البيانات داخلها.

DGSSI وmaCERT: سلطة الأمن السيبراني الوطني

المديرية العامة لأمن نظم المعلومات، التابعة لإدارة الدفاع الوطني، تضطلع بدور محوري في الأمن السيبراني الوطني. وهي ليست سلطة لحماية المعطيات الشخصية بالمعنى الضيق، بل سلطة مرجعية في DGSSI obligations sécurité informatique، ووضع المرجعيات، والتأهيل، وتتبع الحوادث بالنسبة للجهات المعنية.

تحت إشرافها يشتغل maCERT كمركز وطني للاستجابة للحوادث السيبرانية. دوره لا يقتصر على تلقي الإشعارات، بل يشمل التنسيق والمواكبة التقنية والتحذير من بعض التهديدات ونشر توصيات ومؤشرات اختراق عند الاقتضاء. كما تنشر DGSSI مرجعيات ووثائق تقنية مهمة على موقعها dgssi.gov.ma، لكن بصراحة، عدداً قليلاً جداً من المقاولات يطلع عليها بشكل منتظم.

وهنا نقطة عملية: إذا كانت لديك شكوك حول مدى خضوع مؤسستك أو نظامك للقانون 05-20 أو لمرجعيات DGSSI، فالمقاربة السليمة ليست الافتراض. الأفضل توجيه مراسلة قانونية مؤطرة لطلب التوضيح، أو على الأقل القيام بتشخيص داخلي مدعوم برأي مهني.

كيف يجري التفتيش أو المراقبة في الواقع؟

في الواقع المغربي، المراقبة قد لا تأخذ دائماً شكل زيارة مفاجئة كما يتخيله البعض. أحياناً تبدأ بمراسلة، أو بطلب معلومات، أو بشكاية من شخص معني، أو بحادثة معلنة، أو بنزاع شغلي كشف عن وجود كاميرات غير مصرح بها أو جمع مفرط للمعطيات. المهم أن الشركة يجب أن تكون جاهزة بوثائقها الأساسية: سياسات الخصوصية، نماذج الإشعار، السجل الداخلي، عقود المناولة، لائحة الصلاحيات، سياسة الولوج، خطة النسخ الاحتياطي، وإثبات التكوينات الداخلية إن وجدت.

عندما تكون الوثائق غير موجودة، يبدأ الارتباك. وعندما تكون موجودة لكن منسوخة شكلياً من الإنترنت دون مواءمة مع الواقع المغربي، تظهر الثغرات بسرعة. الامتثال الحقيقي لا يصنع بالنسخ واللصق.

العقوبات والمسؤولية القانونية عند وقوع هجوم سيبراني أو خرق للمعطيات

العقوبات الزجرية في القانون 09-08

القانون 09-08 ليس قانوناً “أدبياً”. بل يتضمن مقتضيات زجرية واضحة. وهذه نقطة لا يلتفت إليها كثير من المسيرين إلا متأخرين.

المادة 52 من القانون 09-08 تعاقب على عدم القيام بالتصريح أو القيام بمعالجة دون استيفاء الشروط القانونية بغرامة من 10.000 إلى 300.000 درهم وبالحبس من ثلاثة أشهر إلى سنة أو بإحدى هاتين العقوبتين.

المادة 53 من القانون 09-08 تعاقب على معالجة بعض المعطيات الحساسة دون ترخيص بغرامة من 50.000 إلى 600.000 درهم وبالحبس من ستة أشهر إلى سنتين أو بإحدى هاتين العقوبتين.

المادة 55 من القانون 09-08 ترتب جزاء على الإخلال بواجب أمن المعطيات المنصوص عليه في المادة 23، بغرامة من 10.000 إلى 300.000 درهم وبالحبس من ثلاثة أشهر إلى سنة أو بإحدى هاتين العقوبتين.

هذه الأرقام ليست رمزية. ثم إن الأمر لا يقف عند الشخص الذاتي. بالنسبة للأشخاص المعنويين، تطبق قواعد المسؤولية الجنائية والغرامات وفق القواعد العامة، وقد ترتفع الكلفة الفعلية بشكل كبير. في الممارسة، مجرد فتح مسطرة أو نزاع في هذا الباب يخلق كلفة موازية: دفاع قانوني، افتحاصات، توقف عمليات، تواصل أزمة، وإضرار بالسمعة.

العقوبات في القانون 05-20

أما القانون 05-20 فيتضمن بدوره غرامات مهمة للجهات الخاضعة له. فالإخلال ببعض الالتزامات الأمنية أو الامتناع عن التقيد بالمقتضيات المفروضة يمكن أن يؤدي إلى غرامات تتراوح، بحسب الحالة، بين 300.000 و1.000.000 درهم. كما أن عرقلة مهام المراقبة أو عدم التعاون قد يرتب بدوره جزاءات مالية معتبرة.

المادتان 21 و22 من القانون 05-20 ترتبان غرامات على الإخلال بالالتزامات الأمنية وعلى عرقلة أعمال المراقبة والتحقق.

هذا يجعل directive NIS Maroc cybersécurité تعبيراً تقريبياً متداولاً عند بعض المهنيين لوصف الاتجاه المغربي نحو تنظيم أمن الأنظمة الحيوية، وإن كان الإطار المغربي له خصوصيته ولا يطابق النص الأوروبي حرفياً. الفكرة الجوهرية واحدة: الأمن السيبراني في القطاعات الحساسة لم يعد أمراً اختيارياً.

المسؤولية المدنية: الشركة قد تكون ضحية... لكنها تبقى مسؤولة

كثير من المسيرين يقولون بعد الاختراق: “نحن أيضاً ضحايا”. هذا صحيح من زاوية واقعية، لكنه لا يكفي قانونياً. فقد تكون الشركة ضحية هجوم، وفي الوقت نفسه مسؤولة تجاه الغير إذا ثبت تقصيرها في الحماية أو التنظيم أو التعاقد أو الاستجابة.

الفصل 77 من قانون الالتزامات والعقود ينص على أن كل فعل ارتكبه الإنسان عن بينة واختيار، ومن غير أن يسمح له به القانون، فأحدث ضرراً مادياً أو معنوياً للغير، ألزم مرتكبه بتعويض هذا الضرر إذا ثبت أن ذلك الفعل هو السبب المباشر في حصوله.

ويكمله الفصل 78 من نفس القانون في شأن الخطأ والإهمال وعدم التبصر. في سياق responsabilité juridique cyberattaque Maroc، يمكن للمتضرر أن يجادل بأن الشركة أهملت في تأمين معطياته، أو لم تراقب مناولها، أو لم تعتمد الحد الأدنى من الحماية المعقولة، أو لم تتدخل في الوقت المناسب للحد من الضرر.

هنا تظهر أهمية المادة 20 من القانون 09-08 المتعلقة بالمناول أو المتعهد. فحين تستعين الشركة بمزود خدمات معلوماتية أو مستضيف سحابي أو شركة خارجية تدير الرواتب أو خدمة الزبناء، فإن المسؤولية الأصلية أمام CNDP تبقى غالباً على عاتق المسؤول عن المعالجة، أي الشركة نفسها، ما لم تكن العقود واضحة والضمانات قائمة والتتبع فعلياً. باختصار: لا يمكنك الاختباء وراء المتعهد إذا كان عقدك معه هشاً أو غامضاً.

في ملفات واقعية، رأينا شركات تحملت كلفة كبيرة لأن مزودها التقني كان يستعمل صلاحيات واسعة دون ضبط، أو لأن كلمات السر المشتركة كانت متداولة بين عدة موظفين، أو لأن النسخ الاحتياطية لم تكن مجربة فعلياً، أو لأن الولوج إلى البريد المهني لم يكن محمياً بالمصادقة الثنائية. هذه تفاصيل تقنية، نعم، لكنها تتحول بسرعة إلى وقائع قانونية أمام المحكمة.

هل يمكن مساءلة المسير شخصياً؟

في بعض الحالات، نعم. خصوصاً إذا تبين أن هناك إهمالاً جسيماً، أو تجاهلاً متعمداً للإنذارات، أو اتخاذ قرارات مخالفة للقانون رغم التنبيه، أو الإدلاء بتصريحات غير صحيحة للجهات المختصة. هذا الجانب غالباً ما يتم تجاهله داخل مجالس الإدارة، حيث يُنظر إلى الأمن السيبراني كملف إداري ثانوي. والحال أنه قد يصبح ملف حكامة ومسؤولية مسيرين بامتياز.

أما بخصوص الاجتهاد القضائي المغربي المنشور في هذا المجال، فهو ما زال محدوداً من حيث القرارات المفصلة المتاحة للعموم، لكن الاتجاه العام واضح: ازدياد النزاعات المرتبطة بالتسريبات، والولوج غير المشروع، والنزاعات التعاقدية المرتبطة بخدمات الاستضافة أو الصيانة أو التجارة الإلكترونية، خصوصاً أمام المحاكم التجارية بالدار البيضاء والرباط. ومع تطور المعاملات الرقمية، سنرى لا محالة مزيداً من الأحكام المؤطرة لهذه المسؤولية.

خطة عملية للامتثال داخل الشركة المغربية: من أين تبدأ؟

المرحلة الأولى: افتحاص قانوني وتقني للوضع الحالي

البداية لا تكون بشراء برنامج جديد، بل بفهم ما تملكه الشركة من معطيات وما الذي تفعله بها. يجب إنجاز mapping أو جرد شامل للمعالجات: ملفات الأجراء، الرواتب، الترشيحات، ملفات الزبناء، التسويق، المراقبة بالكاميرات، التتبع الجغرافي إن وجد، البيانات المحاسبية، المنصات الإلكترونية، ملفات الموردين، الدعم التقني، وسجلات الولوج.

هذا الجرد يكشف عادة مفاجآت: تطبيقات غير مصرّح بها، جداول Excel متداولة بالبريد، قواعد بيانات قديمة بلا داع، حسابات موظفين سابقين ما زالت فعالة، أو استعمال أدوات أجنبية تنقل المعطيات خارج المغرب دون تقييم قانوني. وهنا تظهر قيمة الاستعانة بـavocat protection des données personnelles au Maroc أو مستشار متمرس في droit des nouvelles technologies et cybersécurité لفهم التداخل بين النصوص والواقع التقني.

المرحلة الثانية: تسوية وضعية CNDP وإعداد سجل المعالجات

بعد الجرد، تأتي مرحلة تحديد ما الذي يجب التصريح به، وما الذي يحتاج إلى ترخيص، وما هي الإشعارات الواجب تعديلها. المسطرة عبر بوابة CNDP مجانية، لكن إعداد الملف قد يتطلب بين 5 و10 ساعات من العمل القانوني على الأقل في الملفات البسيطة، وأكثر بكثير في الملفات المركبة.

من حيث الآجال، المعالجات العادية قد تستغرق في المتوسط بين شهر وثلاثة أشهر بحسب طبيعة الملف واستكمال الوثائق، بينما طلبات الترخيص قد تمتد بين أربعة وستة أشهر أو أكثر إذا تعلق الأمر بمعطيات حساسة أو ترتب عنها تبادل أو نقل خاص للبيانات.

ورغم أن سجل المعالجات ليس منصوصاً عليه بصيغته الأوروبية الصريحة في القانون 09-08، فإن إعداده صار في المغرب من أدوات الحوكمة الأساسية. يجب أن يتضمن اسم المعالجة، الغرض، الأساس القانوني، فئات المعطيات، فئات الأشخاص، المستفيدين، المتعهدين، مدة الاحتفاظ، التدابير الأمنية، وحالة التصريح أو الترخيص لدى CNDP.

المرحلة الثالثة: إعداد سياسة أمن نظم المعلومات PSSI

إذا كانت الشركة خاضعة للقانون 05-20 أو تتعامل مع قطاع يتطلب مستوى مرتفعاً من الحماية، فإن politique sécurité système information Maroc ليست ترفاً. يجب صياغة PSSI تلائم نشاط الشركة، لا وثيقة عامة من عشرين صفحة لا يقرؤها أحد.

الحد الأدنى المعقول في PSSI يشمل: تصنيف المعطيات، تدبير الأصول الرقمية، إدارة الهويات والصلاحيات، حماية البريد الإلكتروني، شروط الولوج عن بعد، النسخ الاحتياطي، خطة الاستمرارية، إدارة الثغرات والتحديثات، مسطرة الحوادث، تأمين الأجهزة المحمولة، قواعد استعمال الإنترنت، وضوابط المناولة الخارجية. وإذا كانت هناك مرجعيات DGSSI واجبة التطبيق، فيجب مواءمة الوثيقة معها بدقة.

إعداد PSSI لمقاولة متوسطة قد يستغرق بين شهرين وأربعة أشهر مع مواكبة خارجية. أما الكلفة، فتختلف حسب القطاع، لكنها قد تتراوح في المتوسط بين 30.000 و80.000 درهم في الحالات المتوسطة، وترتفع إذا أضيفت افتحاصات تقنية متخصصة أو اختبارات اختراق أو مواكبة تأهيلية.

المرحلة الرابعة: تكوين الموارد البشرية

أكبر ثغرة في عدد كبير من الهجمات ليست تقنية، بل بشرية. رسالة تصيد، كلمة سر ضعيفة، مشاركة ملف عبر واتساب، ترك حاسوب مفتوح، أو استعمال بريد شخصي في مهمة مهنية. لذلك، التكوين ليس نشاطاً ثانوياً. يجب أن يشمل الإدارة، والموظفين، وفرق الموارد البشرية، والمحاسبة، والاستقبال، والمعلوميات.

التحسيس الفعال في المقاولة المغربية لا يحتاج دائماً إلى برامج باهظة. أحياناً ورشات فصلية، ودليل داخلي واضح، وتمارين محاكاة بسيطة، وإشعارات دورية، تحدث فرقاً حقيقياً. كما أن تعيين مرجع داخلي لحماية المعطيات حتى دون صفة DPO رسمية، يساعد كثيراً في ضبط التواصل والقرارات.

الميزانية والآجال الواقعية

بالنسبة لـ TPE أو PME مغربية، يمكن تقدير مواكبة امتثال أساسية تشمل الجرد، التصريحات CNDP، الوثائق الداخلية، والعقود الأساسية، في حدود 30.000 إلى 80.000 درهم. وإذا أضيفت PSSI وتكوينات وافتخاضات تقنية، قد نصل إلى 80.000 إلى 200.000 درهم بحسب الحجم والتعقيد. أما المقاولات الكبرى أو الجهات ذات الأنظمة الحساسة، فقد تبدأ الكلفة من 200.000 درهم وتتصاعد.

من حيث الزمن، الامتثال الجدي لمقاولة متوسطة يحتاج غالباً بين ستة أشهر واثني عشر شهراً. من يعدك بتسوية شاملة في أسبوعين، يبيعك غالباً أوراقاً لا امتثالاً.

وإذا كانت الجهة معنية بمرجعيات DGSSI أو افتحاصات معتمدة، فيجب التأكد قبل التعاقد من أن مقدم الخدمة يوجد ضمن اللوائح أو الشروط المعتمدة المنشورة لدى DGSSI. هذا تفصيل بسيط ظاهرياً، لكنه حاسم في الصحة القانونية للعمل المنجز.

قطاعات تتطلب يقظة مضاعفة

القطاع البنكي والمالي

الأبناك ومؤسسات الأداء والفاعلون الماليون يوجدون تحت ضغط تنظيمي أعلى. بنك المغرب أصدر الدورية رقم 5/W/2021 المتعلقة بتدبير المخاطر العملياتية المرتبطة بنظم المعلومات. هذه الدورية تضع متطلبات أوضح على مستوى الحكامة، استمرارية النشاط، تدبير المخاطر، والتبليغ الداخلي والخارجي. كما أن بعض الفاعلين قد يكونون معنيين أيضاً بمتطلبات أخرى صادرة عن AMMC أو ACAPS بحسب النشاط.

قطاع الصحة

المعطيات الصحية من أكثر المعطيات حساسية. ولهذا فإن المادة 14 من القانون 09-08 تجعل معالجتها خاضعة لترخيص مسبق في حالات متعددة. المصحات، المختبرات، تطبيقات حجز المواعيد، منصات الاستشارة عن بعد، وشركات التأمين الصحي، كلها مطالبة بحذر مضاعف في protection données personnelles Maroc entreprise. الخطأ هنا ليس تقنياً فقط؛ بل قد يمس السر المهني والكرامة والخصوصية بشكل بالغ.

الاتصالات والتجارة الإلكترونية

مشغلو الاتصالات يخضعون أيضاً لالتزامات خاصة ناتجة عن القانون 24-96 والنصوص التنظيمية المرتبطة بـANRT. أما في التجارة الإلكترونية، فإن القانون 53-05 المتعلق بالتبادل الإلكتروني للمعطيات القانونية يطرح بدوره متطلبات تتعلق بسلامة المعاملات والثقة الرقمية. المنصات الناشئة كثيراً ما تركز على المبيعات وتؤجل الامتثال، ثم تكتشف لاحقاً أن جمع البريد الإلكتروني، وبيانات الأداء، ونسخ الوثائق، وسجلات التتبع، كلها تثير أسئلة قانونية جدية.

أتذكر حالة شركة ناشئة بمراكش في مجال السياحة الرقمية كانت تجمع نسخ جوازات السفر ضمن مسار الحجز دون تحليل قانوني دقيق لطبيعة الحاجة والمدة والضمانات. مثل هذه الممارسات قد تبدو عادية تجارياً، لكنها قد تفتح باب sanctions violation données personnelles Maroc إذا لم تكن مؤطرة بشكل صحيح.

خلاصة: الامتثال السيبراني استثمار قانوني وليس عبئاً إدارياً

أربع أولويات يجب أن تتذكرها

إذا أردنا تلخيص الصورة، فهناك أربع أولويات أساسية لأي مقاولة مغربية. أولاً، حدد جميع معالجاتك للمعطيات الشخصية وسوِّ وضعيتها لدى CNDP. ثانياً، طبّق فعلياً واجب الأمن المنصوص عليه في المادة 23 من القانون 09-08، لا على الورق فقط. ثالثاً، إذا كنت ضمن نطاق القانون 05-20 أو تتعامل مع جهة تفرض مرجعياته، فضع PSSI وقم بالافتحاصات اللازمة. رابعاً، جهّز مسطرة واضحة للتعامل مع الحوادث والتصريح بها وتوثيقها.

الامتثال كميزة تنافسية

في المغرب اليوم، الشركة الممتثلة لا تحمي نفسها فقط من الغرامات. بل تبني أيضاً ثقة الزبون، وتسهّل الشراكات مع الفاعلين الدوليين، وتقوي موقعها في الصفقات والعقود التي أصبحت تشترط أكثر فأكثر معايير أمنية واضحة. ومع تقدم مشروع Digital Nation Maroc وتطور البيئة التنظيمية، ستصبح هذه الميزة أكثر وضوحاً.

كلفة عدم الامتثال تكاد تكون دائماً أعلى من كلفة الامتثال. غرامات، توقف نشاط، فقدان زبناء، نزاعات قضائية، وإضرار بالسمعة. لهذا، إذا كانت شركتك تجمع أو تخزن أو تستعمل معطيات شخصية، أو تعتمد على نظم معلومات تؤثر في نشاطها الحيوي، فالمطلوب الآن ليس الانتظار، بل التشخيص والتحرك.

ومن الناحية العملية، قد يكون من المفيد استشارة avocat spécialisé en droit numérique à Casablanca أو cabinet juridique droit des affaires Rabat أو حتى conseil juridique entreprise Marrakech بحسب موقعك وحجم نشاطك، خاصة إذا كنت تحتاج إلى مواكبة في conformité protection des données pour votre entreprise أو في تقييم responsabilité civile et délictuelle au Maroc أو عند وجود شق زجري يفرض اللجوء إلى avocat droit pénal des affaires Casablanca.

ثم هناك نقطة أخيرة لا ينبغي إغفالها. النقاش حول تحديث القانون 09-08 قائم فعلاً، مع توجه نحو تقوية الالتزامات ورفع مستوى الملاءمة مع المعايير الدولية، خاصة على مستوى الإشعار بخروقات المعطيات، وتدعيم الحكامة الداخلية، وتشديد الجزاءات. من ينتظر الإصلاح حتى يبدأ الامتثال، سيصل متأخراً. أما من يتحرك الآن، فسيكون في موقع أفضل قانونياً وتجارياً وأمنياً.

أسئلة شائعة

هل شركتي المغربية ملزمة بالتصريح لدى CNDP؟
نعم، في الغالب نعم، متى كانت الشركة تعالج معطيات ذات طابع شخصي تخص أشخاصاً ذاتيين، مثل الأسماء وأرقام الهاتف والبريد الإلكتروني وملفات الموارد البشرية ومعطيات الزبناء. القانون 09-08 لا يقتصر على الشركات الكبرى، ولا يشترط حجماً معيناً للمقاولة حتى يطبق عليها. القاعدة العملية هي أن كل معالجة للمعطيات الشخصية تستلزم دراسة ما إذا كانت تحتاج إلى تصريح مسبق أو إلى ترخيص مسبق لدى CNDP. بالنسبة للمعطيات الحساسة، مثل المعطيات الصحية أو البيومترية أو بعض المعطيات القضائية، يكون الترخيص المسبق مطلوباً بموجب المادة 14 من القانون 09-08.
ما هي الغرامات والعقوبات عند عدم الامتثال للقانون 09-08 في المغرب؟
العقوبات في القانون 09-08 جدية وليست شكلية. فالمادة 52 تنص على غرامة من 10.000 إلى 300.000 درهم و/أو الحبس من ثلاثة أشهر إلى سنة في حالات معينة تتعلق بعدم التصريح أو المعالجة غير المطابقة، بينما المادة 53 ترفع العقوبة إلى غرامة من 50.000 إلى 600.000 درهم و/أو الحبس من ستة أشهر إلى سنتين عند معالجة بعض المعطيات الحساسة دون ترخيص. كما أن المادة 55 تعاقب على الإخلال بواجب أمن المعطيات المنصوص عليه في المادة 23. وإلى جانب هذا، قد تواجه الشركة أيضاً مسؤولية مدنية بالتعويض إذا تسبب الخرق في ضرر للغير.
هل المقاولة الصغرى أو المتوسطة معنية بالقانون 05-20 المتعلق بالأمن السيبراني؟
ليس بالضرورة بشكل مباشر. القانون 05-20 يستهدف أساساً الإدارات والهيئات العمومية ومشغلي البنيات التحتية ذات الأهمية الحيوية وبعض الأنظمة الحساسة، وليس كل PME تلقائياً. لكن هذا لا يعني أن المقاولة الصغرى أو المتوسطة خارج دائرة الالتزامات كلياً، لأنها تبقى خاضعة للقانون 09-08 إذا كانت تعالج معطيات شخصية. كما قد تخضع بشكل غير مباشر لالتزامات أمنية تعاقدية إذا كانت تقدم خدمات رقمية لجهة عمومية أو لبنك أو لمشغل حيوي.
ماذا يجب أن أفعل إذا تعرضت شركتي لهجوم سيبراني أو لتسريب معطيات؟
أول خطوة هي تفعيل خطة الاستجابة للحوادث إن كانت موجودة: عزل الأنظمة المتضررة، حفظ الأدلة، وتقييم نطاق الاختراق بسرعة. إذا كانت الجهة خاضعة للقانون 05-20، فيجب التصريح بالحادث لدى maCERT في أجل معقول، مع توثيق كل الإجراءات المتخذة. وإذا كانت المعطيات الشخصية قد تأثرت، فيجب تقييم واجب إخبار الأشخاص المعنيين والسلطات المختصة بحسب طبيعة الخرق وآثاره. عملياً، السرعة وحدها لا تكفي؛ الأهم هو أن تكون الأفعال موثقة ومنسقة قانونياً وتقنياً.
كم تكلف مطابقة الأمن السيبراني وحماية المعطيات لشركة مغربية؟
الكلفة تختلف بحسب حجم الشركة والقطاع وتعقيد الأنظمة. بالنسبة لمقاولة صغيرة أو متوسطة، قد تتراوح مواكبة أساسية تشمل التدقيق الأولي والتصريحات لدى CNDP والوثائق الداخلية بين 30.000 و80.000 درهم تقريباً. وإذا أضيفت سياسة أمن نظم المعلومات PSSI، وتكوينات داخلية، وافتحاصات تقنية، فقد ترتفع الكلفة إلى ما بين 80.000 و200.000 درهم. أما المؤسسات الكبرى أو القطاعات الحساسة، فقد تبدأ الكلفة من 200.000 درهم وما فوق، لكن هذه المبالغ تبقى غالباً أقل بكثير من تكلفة الاختراق أو العقوبات أو النزاعات.
ما الفرق بين CNDP وDGSSI؟ وإلى أي جهة يجب أن أتوجه؟
CNDP هي السلطة المختصة بحماية المعطيات ذات الطابع الشخصي وتطبيق القانون 09-08، لذلك فهي الجهة التي تتلقى التصاريح وطلبات الترخيص المتعلقة بمعالجات البيانات الشخصية. أما DGSSI فهي السلطة الوطنية المرجعية في الأمن السيبراني، وتختص خصوصاً بتأمين نظم المعلومات الحساسة وتطبيق القانون 05-20 والمرجعيات المرتبطة به. إذا كانت شركتك تعالج معطيات شخصية فقط، فغالباً ستكون CNDP هي الجهة الأساسية. أما إذا كانت الشركة تدير نظاماً حساساً أو تشتغل في قطاع حيوي أو خاضع لمرجعيات أمنية خاصة، فقد تحتاج إلى الامتثال تجاه الجهتين معاً.
هل المتعهد المعلوماتي أو المستضيف السحابي مسؤول عن أمن معطياتي بدلاً عني؟
قانونياً، المسؤولية الأصلية لا تنتقل بالكامل إلى المتعهد. في منطق القانون 09-08، تبقى الشركة التي تحدد أغراض ووسائل المعالجة هي المسؤول عن المعالجة، وبالتالي فهي تتحمل العبء الرئيسي أمام CNDP والأشخاص المعنيين. صحيح أن المتعهد يمكن أن يتحمل مسؤولية تعاقدية أو تقصيرية بحسب ما وقع الاتفاق عليه وبحسب طبيعة الخطأ المرتكب، لكن ذلك لا يعفي الشركة من واجب اختيار متعهد موثوق وصياغة عقد واضح يتضمن التزامات الأمن والسرية والمراقبة. باختصار، إذا كان عقد المناولة ضعيفاً، فغالباً ستبقى الشركة في الواجهة عند حصول تسريب أو اختراق.
هل هناك إصلاح مرتقب للقانون 09-08؟ وهل يجب الاستعداد له من الآن؟
نعم، هناك نقاش جدي في المغرب حول تحديث القانون 09-08 حتى يواكب التطورات الرقمية والمعايير الدولية الحديثة. من بين النقاط المنتظرة: تقوية قواعد الإشعار بخروقات المعطيات، وتدعيم الحكامة الداخلية، ورفع مستوى الردع والعقوبات، وربما مزيد من التقارب مع منطق GDPR الأوروبي. لكن عملياً، لا معنى لانتظار الإصلاح قبل البدء في الامتثال، لأن الالتزامات الحالية قائمة بالفعل ويمكن أن تؤدي إلى مساءلة حقيقية. الشركات التي تبدأ الآن ستكون في وضع أفضل إذا صدر الإصلاح لاحقاً.
هل أحتاج إلى موافقة الأجراء لمعالجة معطياتهم الشخصية في المغرب؟
ليس في كل الحالات. فالمعالجات الضرورية لتنفيذ عقد الشغل أو لتدبير العلاقة المهنية، مثل الأجور والعطل والتصريحات الاجتماعية والوصول إلى الأنظمة، يمكن أن تستند إلى أسس قانونية غير الرضى الصريح. لكن بعض المعالجات تبقى أكثر حساسية، مثل المراقبة بالكاميرات، أو التتبع الجغرافي، أو معالجة المعطيات الصحية، وقد تستدعي شروطاً إضافية أو ترخيصاً أو على الأقل إعلاماً واضحاً ومفصلاً. وفي جميع الأحوال، يجب التصريح بالمعالجات المعنية لدى CNDP واحترام حقوق الأجراء في الإعلام والولوج والتصحيح وفق القانون 09-08.

المصادر والمراجع

محامون موصى بهم

تحدث مع محامٍ متخصص في هذه المواضيع

Sofia Bennis
10 سنوات من الخبرة

Sofia Bennis

Cabinet Me. Sofia Benniscasablanca

Avocate au Barreau de Casablanca, j’interviens principalement en droit des affaires et en contentieux à enjeux (commercial, fiscal, immobilier et social), avec une pratique orientée stratégie et résultats. J’accompagne dirigeants, investisseurs et institutions financières à toutes les étapes du dossier : analyse des risques, structuration juridique, négociation et gestion du contentieux. Mon approche est à la fois rigoureuse et opérationnelle, avec un objectif clair : sécuriser vos intérêts et optimiser vos chances de succès. Ce qui me distingue : une forte culture du résultat, une réactivité constante et une capacité à traiter des dossiers complexes avec une vision stratégique globale. J’accorde une attention particulière à la qualité de la rédaction et à la construction de l’argumentation, déterminantes dans l’issue des litiges.

قانون الأعمالقانون الأسرةالقانون العقاري+6
الفرنسية · العربية · الإنجليزية
عرض الملف الشخصي
Sofia Bousselham
9 سنوات من الخبرة

Sofia Bousselham

Laya Law Firmالدار البيضاء

Avocate au barreau de Casablanca, Sofia Bousselham accompagne depuis plus de neuf ans entreprises et particuliers dans la sécurisation de leurs activités et la résolution de leurs litiges. Trilingue (français, arabe, anglais), elle intervient tant en conseil qu’en contentieux. Sa pratique se concentre sur le droit social, le droit des sociétés, le droit commercial, la propriété intellectuelle et la protection des données personnelles. Elle accompagne également ses clients en matière de divorce et de droit de la famille. À l'écoute et pragmatique, elle privilégie une approche personnalisée et stratégique, alliant rigueur juridique et compréhension des enjeux business de ses clients.

قانون الشركاتالملكية الفكريةالقانون التجاري+12
الفرنسية · العربية · الإنجليزية
عرض الملف الشخصي
Chama Haloui
10 سنوات من الخبرة

Chama Haloui

Cabinet Me. Chama Halouicasablanca

Fondé en 1974 par son père, feu Maître Mohamed HALOUI, le cabinet de Maître Chama HALOUI prolonge un engagement au service de la justice au Maroc. Son parcours, marqué par son dévouement à la justice et aux justiciables, fut honoré par Sa Majesté le Roi, qui le nomma en 2017 membre du Conseil Supérieur du Pouvoir Judiciaire. Dans la continuité de son héritage, le cabinet de Maitre Chama HALOUI accompagne les particuliers et les professionnels dans le cadre d’une pratique fondée sur la rigueur, la disponibilité et la qualité de l’accompagnement. Il attache une importance particulière à l’écoute et veille à offrir à chaque client une assistance juridique personnalisée, ainsi qu’une attention constante, un soutien moral et une relation de confiance, particulièrement précieux dans les étapes souvent difficiles de la vie judiciaire.

قانون الأسرةالقانون الجنائيقانون العمل+2
الفرنسية · العربية · الإنجليزية
عرض الملف الشخصي
العودة إلى المدونة