حماية المعطيات الشخصية بالمغرب وCNDP

مقدمة: لماذا أصبحت حماية المعطيات الشخصية مسألة استراتيجية في المغرب؟

في بداية القصة، لم تكن Textile Express SARL، وهي شركة تجارة إلكترونية صغيرة في الدار البيضاء، تتصور أن حملة تسويق عبر الرسائل القصيرة قد تجر عليها مراسلة رسمية من اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي. أحد الزبناء تلقى رسائل إشهارية لم يوافق عليها صراحة، ثم اكتشف أن رقم هاتفه انتقل إلى متعهد خارجي يتولى التسويق الرقمي. الشركة كانت تظن أن الأمر عادي: قاعدة زبناء، مزود خدمة، حملة ترويجية. لكن قانونيا، المسألة مختلفة تماما. نحن هنا أمام معالجة لمعطيات شخصية، وربما نقل إلى الغير دون احترام الشروط القانونية، وربما أيضا دون تصريح CNDP أو دون إعلام صحيح للشخص المعني.

هذا المثال التربوي ليس بعيدا عن الواقع المغربي. مع توسع التجارة الإلكترونية، والخدمات البنكية الرقمية، ومنصات التوصيل، والعمل عن بعد، وأنظمة المراقبة بالفيديو، والتطبيقات الصحية، صارت حماية البيانات الشخصية في المغرب من أكثر ملفات الامتثال القانوني حساسية. والمفارقة أن عددا مهما من المقاولات، خاصة الصغرى والمتوسطة، لا تزال تتعامل مع المعطيات الشخصية باعتبارها مجرد ملف Excel أو قاعدة CRM، بينما القانون يعتبرها امتدادا مباشرا لحق دستوري أصيل هو الحق في الحياة الخاصة.

الفصل 24 من دستور المملكة لسنة 2011 واضح في هذا الباب. فهو يكرس حماية الحياة الخاصة، وحرمة المنزل، وسرية الاتصالات الشخصية. ومن هنا نفهم أن القانون رقم 09-08 ليس مجرد نص تقني يهم المعلوميات، بل هو قانون يوازن بين متطلبات الاقتصاد الرقمي وحقوق الأفراد.

اللافت أيضا أن المغرب كان من الدول السباقة في شمال إفريقيا إلى اعتماد إطار قانوني خاص بحماية المعطيات الشخصية، عبر الظهير الشريف رقم 1-09-15 الصادر في 22 صفر 1430 (18 فبراير 2009) بتنفيذ القانون رقم 09-08، المنشور بالجريدة الرسمية عدد 5714 بتاريخ 23 أبريل 2009. اليوم، وبعد أكثر من خمسة عشر عاما، تغيرت طبيعة المخاطر. لم نعد نتحدث فقط عن الاسم ورقم الهاتف والعنوان، بل عن المعطيات الحساسة، والمعطيات البيومترية، والمعطيات الجينومية التي عادت CNDP لتؤكد بخصوصها، خلال 2024 و2025، ضرورة تعزيز الحماية القانونية وربطها برهان السيادة الرقمية المغربية.

عمليا، عدم الامتثال لا يكلف فقط غرامة. قد يكلف سمعة الشركة، وصفقة مع شريك أوروبي يشترط مستوى قريبا من RGPD، أو نزاعا أمام المحكمة الابتدائية، أو شكاية لدى CNDP، أو حتى إحالة على النيابة العامة. وفي السوق المغربي الحالي، الثقة صارت عملة نادرة. الشركة التي تحترم خصوصية زبنائها وموظفيها تكسب أكثر من مجرد امتثال؛ تكسب مصداقية.

التحول الرقمي المغربي ومخاطره العملية

التحول الرقمي في المغرب لم يعد شعارا مؤسساتيا فقط. الإدارة العمومية رقمنت خدمات واسعة، المقاولات صارت تعتمد الحوسبة السحابية، المصحات الخاصة تجمع بيانات صحية دقيقة، الفنادق ووكالات الأسفار تجمع بيانات جوازات السفر، ومراكز النداء في الدار البيضاء والرباط وطنجة تعالج يوميا كميات كبيرة من معطيات الزبناء لفائدة فاعلين محليين ودوليين. هذا التطور خلق فرصا اقتصادية حقيقية، لكنه وسع أيضا دائرة المخاطر: تسريب قواعد بيانات، استعمال غير مشروع للكاميرات، تتبع الموظفين عبر أنظمة التموضع الجغرافي، أو تخزين بيانات مغاربة على خوادم أجنبية دون ترخيص.

ما الذي تكلفه فعلا حالة عدم الامتثال؟

في النص القانوني، قد تبدو العقوبات محدودة مقارنة بالاتحاد الأوروبي. لكن في الواقع المغربي، الكلفة الحقيقية تتجاوز الغرامة. هناك كلفة إعداد الملف بعد فوات الأوان، وكلفة الدفاع أمام CNDP أو القضاء، وكلفة إعادة التفاوض مع الشركاء، وكلفة الضرر المعنوي والتجاري. باختصار: الامتثال المسبق أرخص بكثير من معالجة الأزمة بعد وقوعها.

القانون 09-08: الأساس القانوني لحماية المعطيات الشخصية في المغرب

النشأة والإطار النظامي

المرجع الأساسي هو القانون رقم 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، الصادر بتنفيذه الظهير الشريف رقم 1-09-15، والمنشور في الجريدة الرسمية عدد 5714 بتاريخ 23 أبريل 2009. ثم جاء المرسوم رقم 2-09-165 الصادر في 25 جمادى الأولى 1430 (21 ماي 2009) لتحديد كيفية تطبيق بعض مقتضياته، ونشر بالجريدة الرسمية عدد 5744 بتاريخ 18 يونيو 2009.

هذا الإطار القانوني يشكل اليوم ما يمكن وصفه، بتبسيط مفيد، بأنه المعادِل المغربي لـ RGPD، لكن مع فروق مهمة. نعم، هناك تشابه في منطق المشروعية، وضرورة الموافقة في حالات معينة، وحقوق الأشخاص، ومراقبة السلطة المختصة. لكن لا، ليس هناك تطابق كامل. القانون المغربي أقدم، وأقل تفصيلا في بعض الجوانب، والعقوبات فيه أقل بكثير من تلك المقررة في النظام الأوروبي العام لحماية البيانات.

من المعني بالقانون 09-08؟

السؤال يتكرر كثيرا: هل يهم القانون فقط الشركات الكبرى أو المواقع الإلكترونية؟ الجواب: لا. القانون يهم كل مسؤول عن المعالجة يقوم بجمع أو تسجيل أو حفظ أو تعديل أو استعمال أو نقل أو إتلاف معطيات شخصية تخص أشخاصا ذاتيين. وهذا يشمل الشركات التجارية، الجمعيات، المصحات، العيادات، المدارس الخاصة، الإدارات العمومية، الجماعات الترابية، مكاتب الدراسات، وكالات التشغيل، بل وحتى بعض المهنيين المستقلين.

ومن النقاط التي يغفل عنها كثيرون أن القانون 09-08 يطبق أيضا على معالجة معطيات الأجراء داخل المقاولة. ملفات الموارد البشرية، كشوف الأجور، كاميرات المراقبة، أنظمة الولوج بالبصمة، المراقبة عن بعد، كلها تدخل ضمن نطاقه.

أما من حيث المجال الترابي، فالقانون يطبق متى كانت المعالجة تتم فوق التراب المغربي أو كان مسؤول المعالجة مستقرا بالمغرب. لذلك فالموقع الإلكتروني المغربي، والتطبيق المحمول التابع لشركة مغربية، والمنصة التي تستهدف زبناء مقيمين بالمغرب، كلها معنية.

التعريفات الأساسية في القانون

تنص المادة 1 من القانون 09-08 على تعريفات محورية. المعطيات ذات الطابع الشخصي هي كل معلومة كيفما كان نوعها، بغض النظر عن دعامتها، بما في ذلك الصوت والصورة، تتعلق بشخص ذاتي معروف أو قابل للتعرف عليه. هذا التعريف واسع جدا. الاسم وحده معطى شخصي. رقم الهاتف كذلك. عنوان البريد الإلكتروني، رقم البطاقة الوطنية، الصورة، التسجيل الصوتي، عنوان IP في بعض السياقات، كلها قد تدخل في المفهوم.

أما المعالجة فهي كل عملية أو مجموعة عمليات منجزة أو غير منجزة بوسائل آلية وتطبق على المعطيات الشخصية، مثل الجمع والتسجيل والتنظيم والحفظ والتكييف والتغيير والاستخراج والاستشارة والاستعمال والإرسال والنشر والربط والمحو والإتلاف.

ومسؤول المعالجة هو الشخص الذاتي أو المعنوي أو السلطة العمومية أو المصلحة أو الهيئة التي تحدد غايات المعالجة ووسائلها. بعبارة بسيطة: من يقرر لماذا تجمع البيانات وكيف ستستعمل هو المسؤول عنها قانونا.

المادة 1 من القانون 09-08: المعطيات ذات الطابع الشخصي هي كل معلومة كيفما كان نوعها، بغض النظر عن دعامتها، بما في ذلك الصوت والصورة، والمتعلقة بشخص ذاتي معروف أو قابل للتعرف عليه.

هل القانون 09-08 هو فعلا النسخة المغربية من RGPD؟

التشبيه مفيد في التواصل، لكنه يحتاج دقة. هناك نقاط التقاء واضحة: مبدأ المشروعية، التناسب، الغاية المحددة، حقوق الولوج والتصحيح والاعتراض، الرقابة المؤسسية، وضوابط نقل البيانات إلى الخارج. لكن هناك أيضا فروق بنيوية. فالقانون المغربي لا يتضمن بنفس القوة مثلا الحق في المحو بصيغته الحديثة كما في RGPD، ولا يفرض بشكل عام الإخطار الإجباري بخرق البيانات، ولا يجعل تعيين DPO إلزاميا، وإن كان قد نظم وظيفة قريبة منه هي Correspondant Informatique et Libertés أو المراسل في مجال المعلوميات والحريات بموجب المادة 22.

كما أن منطق القانون المغربي لا يزال يعتمد بشكل بارز على التصريح أو الترخيص لدى CNDP، بينما يميل النظام الأوروبي أكثر إلى منطق المسؤولية الاستباقية والمساءلة الداخلية. لذلك، من الخطأ أن تقول شركة مغربية: “نحن نحترم RGPD إذن لسنا بحاجة إلى CNDP”. والعكس صحيح أيضا: مجرد التصريح لدى CNDP لا يعني تلقائيا امتثالا كاملا للمعايير الأوروبية.

CNDP: المؤسسة، الاختصاصات، وما تملكه فعلا من سلطة

الأساس القانوني وتركيبة اللجنة

تنظم المواد 27 وما يليها من القانون 09-08 إحداث اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي. هذه اللجنة هي الهيئة المختصة بالسهر على احترام أحكام القانون، ومنح التراخيص، وتلقي التصاريح، والنظر في الشكايات، وإصدار الآراء والتوصيات. من الناحية المؤسساتية، يفترض فيها الاستقلال، وأعضاؤها يعينون وفق الآليات القانونية المقررة.

عمليا، CNDP أصبحت فاعلا مركزيا في المشهد الرقمي المغربي. ليس فقط لأنها تتلقى التصاريح والطلبات، بل لأنها صارت أيضا تصدر مواقف قطاعية تهم العمل عن بعد، البيانات البيومترية، المراقبة بالفيديو، والتحول الرقمي في القطاعات الحساسة.

سلطات التحقيق والمراقبة

الكثير من المقاولات تتعامل مع CNDP وكأنها مجرد مصلحة إدارية تمنح وصلا. هذا تصور ناقص. اللجنة لها صلاحيات فعلية: يمكنها طلب المعلومات والوثائق، وإجراء التحريات، والقيام بعمليات مراقبة، وإصدار توصيات أو ملاحظات، وعند الاقتضاء إحالة الأفعال التي قد تشكل جرائم على النيابة العامة. في القضايا الجدية، قد يجد مسؤول المعالجة نفسه أمام مسطرة مزدوجة: إدارية أمام CNDP، وزجرية أمام القضاء.

من واقع الممارسة، الملف الناقص هو أول سبب للتأخير. والطلب الذي لا يصف بدقة الغرض من المعالجة، أو فئات المعطيات، أو هوية المتعهدين من الباطن، أو آليات الأمان، غالبا ما يرجع للمراجعة. لذلك نقول دائما: التصريح ليس مجرد تعبئة استمارة، بل توصيف قانوني وتقني دقيق لدورة حياة البيانات داخل المؤسسة.

CNDP في 2024-2025: المعطيات الجينومية والسيادة الرقمية

في السنوات الأخيرة، برز خطاب جديد لدى CNDP يربط بين حماية المعطيات الشخصية والسيادة الرقمية. وهذا واضح خصوصا في النقاش المرتبط بالمعطيات الجينومية والبيانات الصحية ذات الحساسية العالية. هذه البيانات لا تمس الشخص وحده، بل قد تمس أسرته وسلالته وحقوقه المستقبلية في التأمين والعمل والخصوصية. من هنا جاء التنبيه إلى ضرورة إطار أكثر صرامة، سواء على مستوى الترخيص أو التخزين أو الولوج أو نقل هذه البيانات خارج المغرب.

هذا النقاش ليس نظريا. مع تطور الطب الشخصي، والتحاليل الجينية، والبحث العلمي الطبي، ومع اقتراب رهانات دولية كبرى مرتبطة بالبنية التحتية الرقمية للمغرب، ومنها ما يثار حول كأس العالم 2030 وتدفق ملايين البيانات الخاصة بالزوار، يصبح سؤال: أين تخزن بيانات المغاربة؟ ومن يملك مفاتيح الوصول إليها؟ سؤالا سياديا بامتياز.

التصريح لدى CNDP: هل هو إلزامي؟ وكيف يتم عمليا؟

المبدأ: التصريح المسبق

المادة 12 من القانون 09-08 تقرر المبدأ العام: المعالجات الآلية أو غير الآلية للمعطيات الشخصية تخضع، من حيث الأصل، لتصريح مسبق لدى CNDP، ما لم تكن داخلة في نظام الإعفاء أو التصريح المبسط أو الترخيص المسبق.

المادة 12 من القانون 09-08: تخضع المعالجة الآلية أو غير الآلية للمعطيات ذات الطابع الشخصي لتصريح مسبق لدى اللجنة الوطنية، مع مراعاة الاستثناءات المنصوص عليها قانونا.

هذا يعني، من حيث المبدأ، أن كل شركة مغربية تجمع معطيات زبنائها أو موظفيها أو مورديها أو مستعملي موقعها الإلكتروني، مطالبة بتقييم ما إذا كانت معالجاتها تستلزم تصريحا أو ترخيصا. حجم الشركة لا يغير القاعدة. المقهى الذي يحتفظ بملفات كاميرات مراقبة، والعيادة التي تدبر ملفات مرضى، وشركة التوصيل التي تجمع عناوين وأرقام هواتف، كلها معنية بدرجات متفاوتة.

التصريح أم الترخيص؟ الفرق جوهري

هنا يقع الخلط في كثير من الأحيان. التصريح هو إجراء إخباري، في حين أن الترخيص هو موافقة مسبقة إلزامية قبل الشروع في المعالجة. وتفصل المواد 13 إلى 16 في بعض الأنظمة الخاصة، بما فيها الإعفاء والتصريح المبسط والترخيص.

المعالجات التي تتعلق بمعطيات حساسة، أو معطيات صحية، أو معطيات بيومترية، أو معطيات قضائية، أو نقل المعطيات إلى الخارج، أو بعض أنظمة المراقبة بالفيديو، لا يكفي فيها مجرد التصريح في الغالب، بل تستلزم ترخيصا مسبقا من CNDP. وهذا فرق عملي كبير: في التصريح، قد تنطلق المعالجة بعد الحصول على الوصل؛ في الترخيص، يجب انتظار الضوء الأخضر.

في الممارسة، النص يتحدث عن آجال، لكن الواقع الإداري يفرض هامشا إضافيا. بالنسبة للتصريح البسيط، قد يكون الأجل القانوني أقرب إلى 30 يوما، لكن عمليا من الحكمة احتساب 45 إلى 60 يوما إذا كان الملف يحتاج استكمالا. أما طلبات الترخيص، خاصة إذا كانت تتعلق بنقل دولي أو بيانات حساسة، فغالبا ما تمتد بين 3 و6 أشهر، وأحيانا أكثر. ومن تجربتنا، الملفات المودعة في بداية السنة تكون عادة أسرع من تلك المودعة في الربع الأخير، حيث يرتفع الضغط الإداري.

ما هي المعالجات التي يجب التصريح بها؟

بصورة عملية، من أبرز المعالجات التي تستوجب انتباه المقاولة المغربية: قواعد بيانات الزبناء، ملفات الموظفين، نظم الأجور، برامج إدارة العلاقات مع الزبناء CRM، المواقع الإلكترونية التي تجمع بيانات عبر نماذج التواصل أو الطلبات، تطبيقات الهاتف، برامج الولاء، النشرات الإخبارية، كاميرات المراقبة، ونظم تتبع المركبات.

الخطأ الشائع هو الاعتقاد أن تصريحا واحدا يغطي كل شيء داخل الشركة. غير صحيح. كل معالجة لها غرضها وخصائصها ومتلقيها ومدتها. قد تحتاج الشركة إلى أكثر من تصريح أو أكثر من طلب بحسب تنوع الأنشطة. سلسلة فندقية مغربية مثلا قد يكون لديها: معالجة لحجز الغرف، معالجة لبرنامج الولاء، معالجة لكاميرات المراقبة، معالجة للموارد البشرية، ومعالجة لنقل بيانات الزبناء إلى منصات حجز دولية. كل واحدة تحتاج تكييفا مستقلا.

الإجراءات العملية والوثائق

الاستمارات والبوابات متاحة عبر الموقع الرسمي cndp.ma. لكن تعبئتها وحدها لا تكفي إذا لم تسبقها جردة داخلية للمعالجات. المطلوب عمليا هو تحديد: من يجمع البيانات؟ ما نوعها؟ لماذا تجمع؟ من يطلع عليها؟ أين تخزن؟ هل هناك متعهد من الباطن؟ هل يوجد نقل إلى الخارج؟ ما هي مدة الاحتفاظ؟ ما هي تدابير الأمان؟

إذا كانت الشركة بالدار البيضاء أو الرباط أو طنجة أو مراكش وتشتغل في قطاع رقمي أو سياحي أو صحي، فمن المفيد جدا أن يصاحبها مهني متمرس. بالنسبة للمقاولات الكازاوية مثلا، فإن الاستعانة بـ محام متخصص في القانون الرقمي بالدار البيضاء قد يختصر وقتا ثمينا في تكييف الملف وصياغة الوثائق. وبالنسبة للمؤسسات السياحية، خاصة الفنادق ووكالات السفر في مراكش، فالتعامل مع بيانات زوار أجانب وجوازات سفرهم يفرض يقظة إضافية، وهو ما يجعل الاستشارة مع محام بمراكش ذا فائدة عملية في بعض الملفات.

الكلفة الحقيقية للتصريح والامتثال

من حيث الرسوم الإدارية، التصريح لدى CNDP في الأصل مجاني. لكن هذا لا يعني أن الامتثال بلا كلفة. الكلفة الحقيقية هي كلفة الوقت، والتدقيق، وصياغة سياسة الخصوصية، وتعديل العقود، وتكوين الموظفين، وإعداد الطلبات والرد على ملاحظات CNDP. بالنسبة لمقاولة صغيرة جدا، قد تتراوح كلفة المواكبة بين 5.000 و15.000 درهم. أما PME من 10 إلى 50 أجيرا، فغالبا ما تقع الكلفة بين 15.000 و50.000 درهم حسب تعقيد المعالجات. الكلفة أعلى في القطاع الصحي أو المالي أو في حالة النقل الدولي للبيانات.

مشروعية المعالجة والموافقة: متى يكون استعمال البيانات قانونيا؟

القاعدة العامة في المادة 3

تنص المادة 3 من القانون 09-08 على أن معالجة المعطيات الشخصية لا تكون مشروعة إلا إذا تمت برضى الشخص المعني دون لبس أو كانت ضرورية لتنفيذ عقد يكون الشخص المعني طرفا فيه، أو لتنفيذ التزام قانوني، أو لإنجاز مهمة من المصلحة العامة، أو لتحقيق مصلحة مشروعة لا تمس بحقوق الشخص المعني. في الجوهر، نحن أمام قواعد قريبة من الأسس القانونية المعروفة في الأنظمة المقارنة.

بمعنى أوضح: ليست كل معالجة تحتاج دائما إلى موافقة صريحة. إذا اشترى زبون منتجا من موقع إلكتروني، فاستعمال عنوانه ورقم هاتفه لتسليم الطلب قد يكون ضروريا لتنفيذ العقد. لكن استعمال نفس البيانات لإرسال عروض تسويقية من شركاء آخرين، أو نقلها إلى وكالة إشهارية، يحتاج غالبا إلى موافقة منفصلة وواضحة.

الموافقة الصحيحة: ما شروطها؟

الموافقة يجب أن تكون حرة، محددة، ومستنيرة. لا تكفي عبارة عامة مدفونة في الشروط العامة. ولا تكفي خانة مؤشرة سلفا في موقع إلكتروني. ولا يكفي سكوت الزبون. عمليا، على الشركة أن تثبت أنها أخبرت الشخص المعني بهوية المسؤول عن المعالجة، والغرض من المعالجة، والجهات التي قد تتلقى البيانات، وحقوقه في الولوج والتصحيح والاعتراض.

في السوق المغربي، لا تزال الخانات المؤشرة مسبقا منتشرة في مواقع التجارة الإلكترونية أو نماذج التسجيل. هذه ممارسة معيبة قانونا لأنها تفرغ الرضى من مضمونه. والأفضل هو اعتماد خانة اختيار مستقلة، غير مؤشرة مسبقا، مرتبطة بنص واضح ومفهوم.

المعطيات الحساسة: هنا ترتفع درجة الحذر

القانون يشدد بصورة خاصة على المعطيات الحساسة. وتشمل، بحسب المادة 1، المعطيات التي تكشف الأصل العرقي، أو الآراء السياسية، أو القناعات الدينية أو الفلسفية، أو الانتماء النقابي، أو المتعلقة بالصحة أو الحياة الجنسية، كما تثير الممارسة اليوم أسئلة قوية حول المعطيات الجينية والجينومية والبيومترية.

هذه المعطيات لا يجوز التعامل معها بخفة. المصحات الخاصة، المختبرات، شركات التأمين الصحي، مراكز التجميل التي تجمع معلومات صحية، الحمامات والمنتجعات التي تطلب أحيانا معلومات عن الحساسية أو الأمراض الجلدية، كلها قد تجد نفسها، دون أن تنتبه، أمام معالجة معطيات صحية تستوجب ترخيصا وضمانات إضافية.

بيانات الأجراء وعلاقتها بقانون الشغل

الأجير لا يفقد حقه في الخصوصية بمجرد دخوله إلى مقر العمل. صحيح أن المشغل يملك سلطة التنظيم والمراقبة، لكن هذه السلطة ليست مطلقة. القانون 09-08 يطبق على بيانات الأجراء، كما أن بعض المقتضيات في مدونة الشغل تؤطر العلاقة المهنية وتحمي الكرامة والحياة الخاصة داخل المقاولة. لذلك، أنظمة البصمة، وكاميرات المراقبة، وبرمجيات تتبع الإنتاجية، وتسجيل المكالمات، كلها تحتاج إلى أساس قانوني وإعلام مسبق وتناسب مع الهدف.

ولهذا السبب بالذات، عندما يتعلق الأمر ببيانات العمال والموظفين، يكون التنسيق مع محام في قانون الشغل بالمغرب مفيدا جدا لفهم التداخل بين متطلبات المشغل وحقوق الأجراء.

حقوق الأشخاص المعنيين: ماذا يحق لكل شخص أن يطلب؟

الحق في الإعلام والشفافية

من المادة 4 إلى المادة 11، يمنح القانون 09-08 مجموعة من الحقوق الأساسية للأشخاص المعنيين. أولها الحق في الإعلام. حين تجمع شركة أو إدارة معطياتك، يجب أن تعرف من هي، ولماذا تجمعها، وهل الإجابة إلزامية أم اختيارية، ومن هم المتلقون المحتملون، وكيف تمارس حقوقك.

هذا الحق يبدو بسيطا، لكنه في الواقع أساس كل الحقوق الأخرى. إذا لم أعرف من يحتفظ بمعطياتي، لن أستطيع طلب الاطلاع عليها أو تصحيحها أو الاعتراض على استعمالها.

حق الولوج والتصحيح والاعتراض

بمقتضى المادتين 7 و8، يحق للشخص المعني أن يطلب من مسؤول المعالجة تأكيد ما إذا كانت بياناته تعالج أم لا، وأن يحصل على نسخة أو بيان بهذه البيانات، وأن يطلب تصحيحها أو تحيينها إذا كانت غير دقيقة أو ناقصة. كما يحق له، في حالات معينة، الاعتراض على المعالجة، خاصة إذا تعلق الأمر بالتسويق المباشر أو الاستعمال غير المتناسب.

عمليا، الأجل القانوني المتداول للرد هو 30 يوما. لكن بصراحة، كثير من المؤسسات لا تحترم هذا الأجل إلا إذا كانت لديها ثقافة امتثال حقيقية. لذلك ننصح دائما بأن يقدم الطلب كتابة، ويفضل عبر رسالة مضمونة مع إشعار بالتوصل أو عبر وسيلة إلكترونية يمكن إثباتها.

المادتان 7 و8 من القانون 09-08: لكل شخص ذاتي يثبت هويته الحق في الولوج إلى المعطيات المتعلقة به وطلب تصحيحها أو تحيينها أو تشطيبها إذا كانت غير صحيحة أو غير كاملة أو ملتبسة.

كيف يمارس الشخص هذه الحقوق فعليا في المغرب؟

الخطوة الأولى هي توجيه طلب واضح إلى الشركة أو الإدارة المعنية، مع تحديد الهوية والبيانات المطلوبة والحق المراد ممارسته. إذا لم يصل جواب، أو جاء رفض غير مبرر، يمكن الانتقال إلى تقديم شكاية إلى CNDP. في بعض الحالات، خاصة إذا ترتب ضرر مادي أو معنوي واضح، قد يكون من المناسب أيضا سلوك المسار القضائي للمطالبة بالتعويض.

في الواقع العملي، رأينا حالات لأشخاص تمكنوا، بعد شكاية لدى CNDP، من وقف رسائل دعائية متكررة أو حذف أرقامهم من قواعد تسويق مباشر. CNDP لا تمنح تعويضا ماليا، لكنها تستطيع التدخل لإعادة الأمور إلى نصابها من زاوية الحماية الإدارية والرقابية.

نقل المعطيات الشخصية إلى الخارج: متى يسمح به القانون المغربي؟

الأصل هو المنع ما لم تتوفر الشروط

المادة 43 من القانون 09-08 حاسمة في هذا الباب. فهي تمنع نقل المعطيات الشخصية إلى دولة أجنبية إذا كانت هذه الدولة لا توفر مستوى كافيا من الحماية، إلا وفق الشروط والإجراءات التي تسمح بها CNDP. هذا يعني أن استعمال خوادم في أوروبا أو الولايات المتحدة أو آسيا ليس قرارا تقنيا صرفا، بل قرار قانوني أيضا.

المادة 43 من القانون 09-08: لا يمكن نقل المعطيات ذات الطابع الشخصي إلى دولة أجنبية إلا إذا كانت تلك الدولة توفر مستوى كافيا من الحماية للحياة الخاصة والحريات والحقوق الأساسية للأشخاص تجاه معالجة هذه المعطيات، أو بعد الحصول على ترخيص من اللجنة الوطنية.

بعض الدول الأوروبية تعتبر، في الغالب، أقرب إلى معيار الحماية الكافية. لكن يجب دائما التحقق من الوضع القانوني المحدث ومن توجهات CNDP. أما بالنسبة للولايات المتحدة أو لبلدان كثيرة خارج الاتحاد الأوروبي، فالحذر أكبر، وغالبا ما تكون الاستشارة المسبقة وطلب الترخيص ضروريين.

الإشكال العملي: الحوسبة السحابية والمتعهدون من الباطن

شركات كثيرة في المغرب تستعمل خدمات مثل AWS أو Google Cloud أو Microsoft Azure أو أدوات SaaS لإدارة الموارد البشرية أو التسويق أو خدمة الزبناء. هنا يطرح السؤال: أين توجد الخوادم؟ من هو المتعهد من الباطن؟ هل هناك معالجة فرعية؟ هل العقد يتضمن ضمانات كافية؟ هل سيتم الوصول إلى البيانات من الخارج؟

هذا الملف معقد، لأنه يجمع بين القانون والتقنية والعقود. ولذلك فإن صياغة البنود التعاقدية الخاصة بحماية البيانات، والتزامات السرية، ومكان التخزين، وآليات التدقيق، ليست عملا شكليا. في هذا المستوى بالذات، يكون الرجوع إلى محام متخصص في قانون العقود بالمغرب مفيدا للغاية. وبالنسبة لشركات المناطق الصناعية واللوجستية في الشمال، خاصة المرتبطة بشبكات دولية، فإن قضايا النقل الدولي للبيانات تهمها مباشرة، وهو ما يبرر الإشارة إلى أهمية المواكبة من طرف محام بطنجة.

الأثر على المشاريع الدولية

في المشاريع العابرة للحدود، التأخر في الحصول على ترخيص نقل المعطيات قد يؤخر الإطلاق التجاري نفسه. لذلك، النصيحة العملية بسيطة: فكر في CNDP منذ مرحلة تصميم المشروع، لا بعد توقيع العقود أو تشغيل المنصة. التأخير هنا قد يكلف 4 إلى 8 أشهر من الزمن التجاري، وهذا في عالم الأعمال رقم كبير جدا.

العقوبات والمخاطر القانونية: ماذا يواجه المخالف فعلا؟

العقوبات الجنائية في القانون 09-08

المواد من 52 إلى 65 من القانون 09-08 تتضمن نظاما زجريا لا ينبغي الاستهانة به. صحيح أن مبالغ الغرامات أقل من مثيلتها الأوروبية، لكنها تبقى جدية في السياق المغربي، خاصة بالنسبة للمقاولات الصغيرة والمتوسطة.

المادة 64 تعاقب على عدم القيام بالتصريح أو على مباشرة معالجة رغم وجوب التصريح بغرامة من 10.000 إلى 100.000 درهم. أما المادة 65، فتشدد أكثر عندما يتعلق الأمر بجمع المعطيات بوسائل احتيالية أو غير مشروعة أو غير نزيهة، إذ قد تصل العقوبة إلى الحبس من ثلاثة أشهر إلى ثلاث سنوات وغرامات مالية.

المادة 64 من القانون 09-08: يعاقب بغرامة من 10.000 إلى 100.000 درهم كل من قام بمعالجة معطيات ذات طابع شخصي دون القيام بالتصريح المسبق الواجب قانونا.

المادة 65 من القانون 09-08: يعاقب بالحبس من ثلاثة أشهر إلى سنة وبغرامة من 20.000 إلى 200.000 درهم أو بإحدى هاتين العقوبتين فقط، وترتفع العقوبة بحسب الحالات، كل من قام عمدا بجمع معطيات شخصية بوسائل احتيالية أو غير مشروعة أو غير نزيهة.

وهنا نقطة مهمة: CNDP يمكنها إحالة الملف على وكيل الملك إذا تبينت أفعال تكتسي طابعا جرميا. أي أننا لسنا فقط أمام سلطة تنظيمية، بل أمام بوابة محتملة للمساءلة الجنائية.

المسؤولية المدنية والسمعة التجارية

إلى جانب الزجر، قد تنشأ مسؤولية مدنية إذا تسبب خرق البيانات أو الاستعمال غير المشروع في ضرر للغير. وقد يطالب المتضرر بالتعويض أمام المحكمة المختصة. كما أن الضرر التجاري قد يكون أحيانا أشد من الغرامة: زبناء يفقدون الثقة، شركاء أوروبيون يعلقون التعاون، منصات أداء أو مزودون دوليون يفرضون تدقيقا إضافيا.

من هنا، فإن ملف sanction violation données personnelles maroc لا ينبغي النظر إليه فقط من زاوية النص الجنائي، بل ضمن استراتيجية أوسع لإدارة المخاطر. وهذا ما يجعل التنسيق مع محام في قانون الأعمال بالمغرب خطوة منطقية حين تكون المعالجة جزءا من نموذج الأعمال نفسه.

عن القضاء المغربي: القضايا قليلة لكنها تتزايد

الاجتهاد القضائي المغربي في هذا المجال لا يزال أقل كثافة من فرنسا مثلا، لكن الممارسة تظهر تزايد النزاعات المرتبطة بالرسائل الإشهارية غير المرغوب فيها، واستعمال قواعد بيانات دون موافقة، وتسريب المعطيات، والمراقبة المفرطة في أماكن العمل. وبعض الأحكام الصادرة عن المحاكم الابتدائية في المدن الكبرى، ومنها الدار البيضاء، أبرزت أن القضاء مستعد لحماية الخصوصية متى ثبت التجاوز، حتى لو كانت الإحالات المنشورة لا تذكر دائما كل التفاصيل التجارية أو التقنية.

بمعنى آخر: صحيح أن المتابعات الجنائية لا تزال أقل عددا مما قد يتوقعه البعض، لكن الاتجاه العام يسير نحو تشدد أكبر، خاصة مع ارتفاع الوعي الحقوقي والرقمي.

خطة عملية للامتثال داخل المقاولة المغربية

ابدأ بالجرد، لا بالاستمارة

أول خطأ ترتكبه شركات كثيرة هو القفز مباشرة إلى تعبئة نموذج CNDP دون إجراء تدقيق داخلي. البداية الصحيحة هي خريطة المعالجات: ما هي البيانات التي تجمعونها؟ من أين تأتي؟ من يصل إليها؟ أين تحفظ؟ من يتقاسمها؟ كم تحتفظون بها؟ وهل توجد بيانات حساسة أو نقل إلى الخارج أو متعهدون من الباطن؟

هذا العمل قد يبدو مرهقا، لكنه جوهر mise en conformité données personnelles entreprise maroc. من دونه، سيكون كل تصريح ناقصا، وكل سياسة خصوصية عامة وفضفاضة، وكل دفاع أمام CNDP ضعيفا.

ثماني خطوات عملية

الخطوة الأولى هي الجرد. الثانية تقييم المخاطر: هل توجد بيانات صحية؟ بيومترية؟ بيانات أطفال؟ نقل خارجي؟ الخطوة الثالثة تحديث الإشعارات القانونية وسياسات الخصوصية على المواقع والتطبيقات والعقود والاستمارات الورقية. الرابعة مراجعة عقود المتعهدين من الباطن: شركات الاستضافة، المحاسبة، الرواتب، التسويق، مراكز النداء، الأمن الخاص، مزودو البرمجيات.

الخامسة هي إنجاز التصاريح وطلبات الترخيص اللازمة لدى CNDP. السادسة تكوين المستخدمين والموظفين، لأن الحلقة الأضعف غالبا ليست النظام المعلوماتي بل السلوك البشري: إرسال ملف إلى الشخص الخطأ، مشاركة كلمة مرور، الاحتفاظ بنسخ غير مؤمنة. السابعة وضع مسطرة للتعامل مع الحوادث والخرق المحتمل للبيانات. والثامنة تعيين مسؤول داخلي أو خارجي يتابع الامتثال بانتظام.

المراسل في مجال المعلوميات والحريات CIL

المادة 22 من القانون 09-08 تتيح تعيين Correspondant Informatique et Libertés، وهو ما يشبه وظيفيا DPO في النظام الأوروبي، لكن بصياغة مغربية أقل تعقيدا. تعيين هذا المراسل ليس إلزاميا على العموم، لكنه مفيد جدا لأنه يخلق مخاطبا داخليا واضحا مع CNDP، ويساعد على تنظيم السجلات الداخلية وتحيين الإجراءات.

في الشركات الصغيرة والمتوسطة التي لا تتوفر على مدير قانوني داخلي، يمكن أن يكون هذا الدور داخليا أو خارجيا. وغالبا ما يتولاه محام أو مستشار متخصص، بحسب حجم المعالجة وطبيعة القطاع.

كم يستغرق الامتثال وكم يكلف؟

إذا كانت المقاولة منظمة ولديها نظم واضحة، فمدة 3 إلى 6 أشهر تعتبر واقعية للوصول إلى مستوى جيد من الامتثال، يشمل الجرد، الوثائق، العقود، التصاريح، والتكوين الأساسي. أما إذا كانت المعالجة مبعثرة بين أقسام عديدة، أو إذا كان هناك نقل دولي للبيانات أو بيانات صحية، فقد تطول المدة.

أما من حيث الميزانية، فقد أشرنا إلى نطاقات تقريبية. لكن الأهم هو فهم أن الاستثمار في الامتثال ليس مصروفا معزولا، بل جزء من إدارة المخاطر القانونية والتجارية. في الرباط مثلا، حيث يوجد القرب الجغرافي والمؤسساتي من CNDP، قد تستفيد بعض الشركات من مواكبة ميدانية أسرع عبر محام متخصص في القانون الرقمي بالرباط لتسهيل التواصل وتحضير الملفات.

كيف تقدم شكاية إلى CNDP؟

الأساس القانوني وشروط القبول

المادة 36 من القانون 09-08 تفتح الباب أمام كل شخص ذاتي يرى أن حقوقه انتهكت بسبب معالجة معطياته الشخصية أن يرفع الأمر إلى CNDP. لكن عمليا، من الأفضل أن يسبق ذلك تواصل مباشر مع مسؤول المعالجة. لماذا؟ لأن اللجنة ستسأل غالبا: هل حاولت ممارسة حقك لدى الجهة المعنية أولا؟ هل لديك ما يثبت ذلك؟

المسطرة خطوة بخطوة

المسطرة تبدأ بجمع الوثائق: نسخة من بطاقة الهوية، نسخة من الطلب الموجه إلى الشركة أو الإدارة، ما يثبت الإرسال أو التوصل، وأي مستند يبين طبيعة الخرق، مثل رسائل دعائية، لقطات شاشة، أو ردود مكتوبة. بعد ذلك، يتم ملء النموذج المتاح على موقع CNDP وإرفاق الوثائق.

المدة تختلف حسب تعقيد الملف. بعض الشكايات البسيطة قد تجد طريقها إلى المعالجة خلال شهرين أو ثلاثة، بينما الملفات التقنية أو التي تتطلب مراسلات متعددة قد تمتد إلى 6 أشهر أو أكثر. CNDP قد تتجه إلى الوساطة، أو طلب توضيحات، أو توجيه ملاحظات، أو اتخاذ موقف أشد إذا تبين خرق واضح.

ما الذي يمكن أن يحصل عليه المشتكي؟

من المهم توضيح نقطة أساسية: CNDP لا تحكم بالتعويضات. إذا كان الشخص يطلب جبر ضرر مالي أو معنوي، فالمسار القضائي المدني يظل قائما. لكن اللجنة تستطيع أن تساعد في وقف المعالجة غير المشروعة، أو تصحيح البيانات، أو فرض احترام الحقوق، أو إحالة المخالفة إلى الجهات المختصة.

ثغرات القانون 09-08 وآفاق الإصلاح

نص متقدم زمن صدوره، لكنه يحتاج تحديثا

بصراحة مهنية، القانون 09-08 كان متقدما عند اعتماده سنة 2009. لكنه لم يكن قادرا على استباق كل ما نعيشه اليوم: المنصات الاجتماعية، الذكاء الاصطناعي، التحليل التنبئي، الاقتصاد القائم على البيانات، التطبيقات الصحية واسعة النطاق، والتعقب التجاري الدقيق. لذلك فهناك ثغرات واضحة: غياب تنظيم أكثر تفصيلا لخرق البيانات، عدم وضوح كاف بشأن بعض المعالجات المؤتمتة، وعدم التنصيص بنفس القوة على بعض الحقوق الحديثة.

المعطيات الجينومية والذكاء الاصطناعي

الملف الأكثر إلحاحا اليوم هو ملف المعطيات الجينومية. هذه البيانات تتجاوز الحساسية التقليدية للملفات الطبية. هي بيانات تحمل بصمة هوية بيولوجية عميقة قد تكشف معلومات عن القابلية للأمراض أو الأصول الوراثية أو الروابط العائلية. لذلك فدعوة CNDP إلى تعزيز حمايتها ليست ترفا أكاديميا، بل استجابة لتطور علمي وسوقي حقيقي.

والأمر نفسه يقال عن الذكاء الاصطناعي. عندما تعتمد شركة أو إدارة على خوارزميات لاتخاذ قرارات أو تصنيف أشخاص أو تحليل سلوكهم، فإننا ندخل مجالا لم يكن القانون 09-08 قد نظمه بالتفصيل الكافي. وهذا ما يفرض تحديثا تشريعيا يوازن بين الابتكار والضمانات.

ضغط السوق الدولية

هناك أيضا ضغط اقتصادي مباشر. الشركات المغربية المصدرة أو المتعاملة مع شركاء أوروبيين تجد نفسها مطالبة بإثبات مستوى حماية معقول ومتماسك. الامتثال هنا لم يعد شأنا محليا صرفا، بل صار جزءا من قابلية الاندماج في سلاسل القيمة الدولية.

خاتمة: الامتثال ليس عبئا، بل استثمار قانوني وتجاري

الخلاصة، في خمس رسائل واضحة. أولا، القانون 09-08 يهم أغلب الفاعلين الاقتصاديين والإداريين في المغرب، لا الشركات الكبرى فقط. ثانيا، التصريح أو الترخيص لدى CNDP ليس إجراء شكليا، بل حجر الزاوية في مشروعية عدد كبير من المعالجات. ثالثا، المعطيات الحساسة والجينومية والبيومترية تستوجب حذرا مضاعفا. رابعا، للأفراد حقوق حقيقية في الولوج والتصحيح والاعتراض والشكاية. وخامسا، عدم الامتثال قد يتحول بسرعة إلى خطر زجري وتجاري وسمعتي.

الرسالة الأهم ربما هي هذه: في الاقتصاد الرقمي، الثقة أصل تجاري. الشركة التي تضبط معالجاتها، وتراجع عقودها، وتؤطر موظفيها، وتحترم زبنائها، لا تحمي نفسها فقط من العقوبة، بل تبني ميزة تنافسية حقيقية. وإن كان ملفكم يتضمن بيانات حساسة أو نقل بيانات إلى الخارج أو أنظمة مراقبة أو معالجة لبيانات الأجراء، فالاستشارة القانونية المبكرة أفضل بكثير من الدفاع المتأخر.

للاطلاع على النماذج والمراجع الرسمية، يمكن الرجوع إلى الموقع الرسمي لـ CNDP وإلى النصوص المنشورة في موقع الأمانة العامة للحكومة. أما من زاوية المرافقة العملية، فاختيار محام متمرس في حماية الحياة الخاصة الرقمية بالمغرب يظل، في كثير من الحالات، الطريق الأسرع والأكثر أمانا.

أسئلة شائعة

هل كل شركة مغربية ملزمة فعلا بالتصريح لدى CNDP؟

نعم، من حيث المبدأ، كل شركة مغربية — مهما كان حجمها — تقوم بجمع أو معالجة معطيات شخصية تخص أشخاصا ذاتيين تكون معنية بواجب التصريح أو ببحث ما إذا كانت معالجتها تدخل في نظام الترخيص. الأساس القانوني يوجد في المادة 12 من القانون رقم 09-08، التي تكرس مبدأ التصريح المسبق. لكن يجب الانتباه: ليست كل المعالجات تخضع للنظام نفسه، فبعضها قد يستفيد من تصريح مبسط أو إعفاء، بينما المعطيات الحساسة مثل البيانات الصحية أو البيومترية أو القضائية تتطلب غالبا ترخيصا مسبقا. الخطوة الأولى دائما هي إنجاز جرد داخلي للمعالجات قبل سلوك أي إجراء لدى CNDP.

ما هي العقوبات إذا لم تصرح شركتي لدى CNDP؟

عدم التصريح لدى CNDP يعرض الشركة، من الناحية الزجرية، للعقوبات المنصوص عليها في المادة 64 من القانون 09-08، والتي تحدد غرامة تتراوح بين 10.000 و100.000 درهم. وإذا اقترنت المعالجة بوسائل احتيالية أو غير مشروعة أو غير نزيهة، فإن المادة 65 تفتح الباب أيضا لعقوبات حبسية قد تصل إلى ثلاث سنوات حسب الحالة. عمليا، الخطر لا يقف عند الغرامة، بل قد يمتد إلى الإضرار بالسمعة التجارية، وفقدان الثقة، وتعليق علاقات مع شركاء أجانب يطلبون امتثالا واضحا لقواعد حماية البيانات. لذلك فالمخاطرة الاقتصادية قد تكون أحيانا أسرع من العقوبة القضائية نفسها.

ما الفرق بين التصريح والترخيص لدى CNDP؟

التصريح هو إجراء يتم بموجبه إشعار CNDP بوجود معالجة للمعطيات الشخصية، ويخص المعالجات العادية التي لا تنطوي على مخاطر مرتفعة. أما الترخيص فهو موافقة مسبقة وضرورية لا يجوز الشروع في المعالجة قبل الحصول عليها، ويهم عادة المعطيات الحساسة أو نقل البيانات إلى الخارج أو بعض أنظمة المراقبة والفيديو والبيانات البيومترية. الفرق العملي كبير جدا، لأن التصريح يفترض ملفا إخباريا، بينما الترخيص يفترض فحصا أعمق من طرف CNDP. من هنا تأتي أهمية التكييف القانوني الصحيح للمعالجة منذ البداية.

هل يمكن لشركتي نقل بيانات زبنائها إلى خوادم في أوروبا أو الولايات المتحدة؟

نقل المعطيات الشخصية إلى الخارج مؤطر بالمادة 43 من القانون 09-08، التي تشترط أن تكون الدولة المستقبلة توفر مستوى كافيا من الحماية أو أن يتم الحصول على ترخيص من CNDP. بالنسبة لبعض الدول الأوروبية، يكون الوضع في الغالب أكثر أمانا من الناحية القانونية، لكن ذلك لا يعفي من التحقق من طبيعة المعالجة والعقد والمزود. أما في حالة الولايات المتحدة أو العديد من الدول خارج الاتحاد الأوروبي، فالحصول على ترخيص من CNDP يكون غالبا ضروريا. استعمال خدمات الحوسبة السحابية مثل AWS أو Google Cloud أو Microsoft Azure يفرض تحليلا قانونيا دقيقا، لأن مكان التخزين والولوج والمعالجة الفرعية كلها عناصر مؤثرة.

كيف يمكن لفرد أن يمارس حقه في الولوج إلى بياناته لدى شركة مغربية؟

بموجب المادتين 7 و8 من القانون 09-08، يحق لأي شخص أن يوجه طلبا إلى مسؤول المعالجة لمعرفة ما إذا كانت بياناته تعالج، وأن يطلب الاطلاع عليها أو تصحيحها إذا كانت غير دقيقة. يفضل عمليا أن يكون الطلب مكتوبا ومرفقا بما يثبت الهوية، وأن يرسل برسالة مضمونة مع إشعار بالتوصل أو عبر وسيلة إلكترونية قابلة للإثبات. الأجل المتداول للرد هو 30 يوما، لكن إذا لم تستجب الشركة أو رفضت دون مبرر مشروع، يمكن للشخص أن يرفع شكاية إلى CNDP عبر النموذج المتاح على موقعها الرسمي. والاحتفاظ بنسخة من المراسلات مهم جدا لإثبات المحاولة المسبقة.

هل يطبق القانون 09-08 على المواقع الإلكترونية والتطبيقات المحمولة المغربية؟

نعم، يطبق القانون 09-08 على المواقع الإلكترونية والتطبيقات المحمولة متى كان مسؤول المعالجة مستقرا في المغرب أو كانت المعالجة تتم فوق التراب المغربي. لذلك فالمتجر الإلكتروني المغربي، والتطبيق المحمول التابع لشركة مغربية، والمنصة التي تجمع معطيات مستعمليها من داخل المغرب، كلها معنية بأحكام القانون. هذا يفرض وجود إشعار قانوني وسياسة خصوصية واضحة، واحترام قواعد الموافقة كلما كانت لازمة، وإنجاز التصريح أو طلب الترخيص لدى CNDP بحسب طبيعة المعالجة. المشكلة أن كثيرا من الفاعلين الرقميين يركزون على التطوير التقني وينسون البنية القانونية منذ البداية.

كم تكلف فعلا عملية الامتثال بالنسبة لمقاولة صغرى أو متوسطة؟

الرسوم الإدارية للتصريح لدى CNDP في الأصل مجانية، لكن تكلفة الامتثال لا تختزل في الرسم الإداري. فالمقاولة تحتاج غالبا إلى تدقيق للمعالجات، وصياغة وثائق الخصوصية، ومراجعة العقود، وتكوين الموظفين، وإعداد التصاريح أو طلبات الترخيص. بالنسبة لـ PME تضم بين 10 و50 أجيرا ومعالجاتها عادية نسبيا، تتراوح الكلفة المهنية عادة بين 15.000 و50.000 درهم. هذه الكلفة تبقى، في أغلب الحالات، أقل بكثير من تكلفة نزاع قضائي أو أزمة تسريب بيانات أو فقدان شريك تجاري بسبب غياب الامتثال.

ما هو CIL وهل تعيينه إلزامي في المغرب؟

المراسل في مجال المعلوميات والحريات أو CIL منصوص عليه في المادة 22 من القانون 09-08، وهو شخص يتولى داخل المؤسسة أو لفائدتها تتبع احترام قواعد حماية المعطيات الشخصية. تعيينه ليس إلزاميا بشكل عام، لكنه مفيد جدا لأنه يخلق وظيفة واضحة للامتثال والتنسيق مع CNDP، وقد يساهم في تبسيط بعض الإجراءات. في المقاولات التي لا تتوفر على كفاءات قانونية أو معلوماتية داخلية كافية، يمكن أن يكون هذا المراسل خارجيا، مثل محام أو مستشار متخصص. دوره قريب وظيفيا من DPO في النظام الأوروبي، لكن دون نفس الصرامة الشكلية.

هل يحمي القانون 09-08 بيانات الأجراء داخل المقاولة؟

نعم، بيانات الأجراء مشمولة بالحماية الكاملة للقانون 09-08، لأن المشغل يعتبر مسؤولا عن معالجة ملفات الموارد البشرية والرواتب والحضور والمراقبة المهنية. لذلك يجب إعلام الأجراء بالمعالجات التي تهمهم، واحترام مبدأ التناسب، وعدم اللجوء إلى وسائل مراقبة مفرطة أو غير مبررة. أنظمة البصمة، وكاميرات المراقبة، وتتبع المركبات، وتسجيل المكالمات المهنية، كلها أمثلة على معالجات تحتاج إلى تأطير قانوني واضح، وقد تستلزم تصريحا أو ترخيصا بحسب الحالة. كما أن التداخل مع مدونة الشغل يجعل الاستشارة القانونية في هذا المجال ذات أهمية خاصة.

هل أستطيع القيام بامتثال CNDP بنفسي أم يجب الاستعانة بمحام؟

القانون لا يفرض الاستعانة بمحام لإنجاز التصاريح أو طلبات الترخيص لدى CNDP، وبالتالي يمكن نظريا لمسؤول قانوني أو تقني داخل الشركة أن يقوم ببعض الإجراءات الأساسية. لكن في الملفات التي تتضمن بيانات حساسة أو نقل بيانات إلى الخارج أو عقود مع متعهدين أجانب أو أنظمة مراقبة للأجراء، تكون المواكبة المهنية شديدة الفائدة. الخطأ في تكييف المعالجة أو في إعداد الملف قد يؤدي إلى تأخير لعدة أشهر أو إلى رفض أو طلب استكمالات متكررة. لذلك، الاستعانة بمحام أو مستشار متخصص ليست إلزاما قانونيا، لكنها في كثير من الحالات قرار عملي ذكي.

المصادر والمراجع

محامون موصى بهم

تحدث مع محامٍ متخصص في هذه المواضيع

9 سنوات من الخبرة

Sofia Bousselham

Laya Law Firm•الدار البيضاء

Avocate au barreau de Casablanca, Sofia Bousselham accompagne depuis plus de neuf ans entreprises et particuliers dans la sécurisation de leurs activités et la résolution de leurs litiges. Trilingue (français, arabe, anglais), elle intervient tant en conseil qu’en contentieux. Sa pratique se concentre sur le droit social, le droit des sociétés, le droit commercial, la propriété intellectuelle et la protection des données personnelles. Elle accompagne également ses clients en matière de divorce et de droit de la famille. À l'écoute et pragmatique, elle privilégie une approche personnalisée et stratégique, alliant rigueur juridique et compréhension des enjeux business de ses clients.

قانون الشركاتالملكية الفكريةالقانون التجاري+12

الفرنسية · العربية · الإنجليزية

عرض الملف الشخصي

10 سنوات من الخبرة

Sofia Bennis

Cabinet Me. Sofia Bennis•casablanca

Avocate au Barreau de Casablanca, j’interviens principalement en droit des affaires et en contentieux à enjeux (commercial, fiscal, immobilier et social), avec une pratique orientée stratégie et résultats. J’accompagne dirigeants, investisseurs et institutions financières à toutes les étapes du dossier : analyse des risques, structuration juridique, négociation et gestion du contentieux. Mon approche est à la fois rigoureuse et opérationnelle, avec un objectif clair : sécuriser vos intérêts et optimiser vos chances de succès. Ce qui me distingue : une forte culture du résultat, une réactivité constante et une capacité à traiter des dossiers complexes avec une vision stratégique globale. J’accorde une attention particulière à la qualité de la rédaction et à la construction de l’argumentation, déterminantes dans l’issue des litiges.

قانون الأعمالقانون الأسرةالقانون العقاري+6

الفرنسية · العربية · الإنجليزية

عرض الملف الشخصي

10 سنوات من الخبرة

Chama Haloui

Cabinet Me. Chama Haloui•casablanca

Fondé en 1974 par son père, feu Maître Mohamed HALOUI, le cabinet de Maître Chama HALOUI prolonge un engagement au service de la justice au Maroc. Son parcours, marqué par son dévouement à la justice et aux justiciables, fut honoré par Sa Majesté le Roi, qui le nomma en 2017 membre du Conseil Supérieur du Pouvoir Judiciaire. Dans la continuité de son héritage, le cabinet de Maitre Chama HALOUI accompagne les particuliers et les professionnels dans le cadre d’une pratique fondée sur la rigueur, la disponibilité et la qualité de l’accompagnement. Il attache une importance particulière à l’écoute et veille à offrir à chaque client une assistance juridique personnalisée, ainsi qu’une attention constante, un soutien moral et une relation de confiance, particulièrement précieux dans les étapes souvent difficiles de la vie judiciaire.

قانون الأسرةالقانون الجنائيقانون العمل+2

الفرنسية · العربية · الإنجليزية

عرض الملف الشخصي

العودة إلى المدونة

حماية المعطيات الشخصية في المغرب وCNDP: ما الذي يجب على الشركات معرفته اليوم؟

مقدمة: لماذا أصبحت حماية المعطيات الشخصية مسألة استراتيجية في المغرب؟

التحول الرقمي المغربي ومخاطره العملية

ما الذي تكلفه فعلا حالة عدم الامتثال؟

القانون 09-08: الأساس القانوني لحماية المعطيات الشخصية في المغرب

النشأة والإطار النظامي

من المعني بالقانون 09-08؟

التعريفات الأساسية في القانون

هل القانون 09-08 هو فعلا النسخة المغربية من RGPD؟

CNDP: المؤسسة، الاختصاصات، وما تملكه فعلا من سلطة

الأساس القانوني وتركيبة اللجنة

سلطات التحقيق والمراقبة

CNDP في 2024-2025: المعطيات الجينومية والسيادة الرقمية

التصريح لدى CNDP: هل هو إلزامي؟ وكيف يتم عمليا؟

المبدأ: التصريح المسبق

التصريح أم الترخيص؟ الفرق جوهري

ما هي المعالجات التي يجب التصريح بها؟

الإجراءات العملية والوثائق

الكلفة الحقيقية للتصريح والامتثال

مشروعية المعالجة والموافقة: متى يكون استعمال البيانات قانونيا؟

القاعدة العامة في المادة 3

الموافقة الصحيحة: ما شروطها؟

المعطيات الحساسة: هنا ترتفع درجة الحذر

بيانات الأجراء وعلاقتها بقانون الشغل

حقوق الأشخاص المعنيين: ماذا يحق لكل شخص أن يطلب؟

الحق في الإعلام والشفافية

حق الولوج والتصحيح والاعتراض

كيف يمارس الشخص هذه الحقوق فعليا في المغرب؟

نقل المعطيات الشخصية إلى الخارج: متى يسمح به القانون المغربي؟

الأصل هو المنع ما لم تتوفر الشروط

الإشكال العملي: الحوسبة السحابية والمتعهدون من الباطن

الأثر على المشاريع الدولية

العقوبات والمخاطر القانونية: ماذا يواجه المخالف فعلا؟

العقوبات الجنائية في القانون 09-08

المسؤولية المدنية والسمعة التجارية

عن القضاء المغربي: القضايا قليلة لكنها تتزايد

خطة عملية للامتثال داخل المقاولة المغربية

ابدأ بالجرد، لا بالاستمارة

ثماني خطوات عملية

المراسل في مجال المعلوميات والحريات CIL

كم يستغرق الامتثال وكم يكلف؟

كيف تقدم شكاية إلى CNDP؟

الأساس القانوني وشروط القبول

المسطرة خطوة بخطوة

ما الذي يمكن أن يحصل عليه المشتكي؟

ثغرات القانون 09-08 وآفاق الإصلاح

نص متقدم زمن صدوره، لكنه يحتاج تحديثا

المعطيات الجينومية والذكاء الاصطناعي

ضغط السوق الدولية

خاتمة: الامتثال ليس عبئا، بل استثمار قانوني وتجاري

أسئلة شائعة

المصادر والمراجع

محامون موصى بهم

Sofia Bousselham

Sofia Bennis

Chama Haloui