Au
Maroc, la
cybersécurité n’est plus un sujet marginal. Les récentes
cyberattaques qui ont visé aussi bien des institutions publiques que des professions réglementées comme les notaires ont révélé l’ampleur de la vulnérabilité du système. Le pays est entré dans une ère où la sécurité numérique est une condition essentielle de la confiance citoyenne. Il ne s’agit pas seulement de défaillances techniques ou humaines, mais aussi de failles juridiques.
Au croisement du droit, de la technologie et de la gouvernance, l’écosystème marocain de la cybersécurité fait face à une double exigence : assurer une meilleure
protection des données personnelles tout en construisant une souveraineté numérique crédible. Deux voix autorisées, celles de Dr
Azeddine Ramrami, enseignant-chercheur et expert en cybersécurité, et de Me
Mehdi Kettani, avocat spécialiste du droit du numérique, dressent un état des lieux lucide et appellent à une mobilisation collective.
Une souveraineté numérique encore en construction
La transformation digitale du Maroc a permis des avancées considérables, mais elle reste encore trop souvent dépendante de technologies étrangères. «On ne peut pas parler de souveraineté numérique quand 95% de nos outils viennent de l’extérieur», alerte Dr Ramrami. Pour lui, le Maroc doit bâtir ses propres capacités : data centers certifiés, solutions locales de cybersécurité et, surtout, un pilotage stratégique fort. Il plaide pour une approche intégrée, structurée autour de quatre leviers : outils technologiques fiables, formation intensive, gouvernance partagée et développement d’une industrie nationale de cybersécurité.
La souveraineté, rappelle-t-il, commence par la maîtrise des données. Il est impératif de stocker localement les informations sensibles, dans des infrastructures résilientes, sécurisées et conformes aux standards internationaux. Et cela suppose une démarche rigoureuse : classification des données, chiffrement, principe du «no trust», audits de sécurité... autant de pratiques encore trop peu ancrées dans les usages.
Une protection juridique à renforcer d’urgence
Du côté juridique, la loi 09-08 sur la protection des données personnelles existe depuis plus d’une décennie. Mais comme le souligne Me Mehdi Kettani, «son application reste trop timide». La CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) a accompli un travail important de sensibilisation, mais les temps ont changé. «Il est temps de passer de la pédagogie à la sanction», insiste-t-il. Les violations sont fréquentes, souvent banalisées, et rarement sanctionnées. Pourtant, la fuite d’un RIB, d’un numéro de CIN ou d’informations salariales constitue une atteinte grave à la vie privée.
Autre point d’alerte : le vide juridique entourant les obligations de notification en cas de fuite de données. Contrairement au Règlement général européen sur la protection des données (RGPD), la loi marocaine n’impose pas aux entreprises d’alerter ni la CNDP ni les personnes concernées. Un manque de transparence qui nuit à la confiance et retarde les réponses appropriées. L’introduction de cette obligation, tout comme celle de désigner un Délégué à la protection des données (DPO), figure parmi les réformes urgentes recommandées par l’avocat.
Des entreprises encore vulnérablesCe sont souvent les PME – en particulier les entreprises familiales – qui se trouvent les plus démunies face à la menace. Manque de sensibilisation, moyens techniques limités, perception erronée du risque : autant de facteurs qui expliquent l’impréparation. «Quelques heures de formation suffiraient à instaurer les bons réflexes», affirme Me Kettani. Ne pas ouvrir de mails suspects, chiffrer les données sensibles, choisir des prestataires fiables : des gestes simples qui peuvent éviter bien des dommages.
Pour Dr Ramrami, la réponse passe aussi par la formation de profils hautement spécialisés : des praticiens opérationnels, capables de détecter, neutraliser et analyser les attaques. «Il faut former des ninjas du cyber», dit-il. Des cursus ciblés, soutenus par des laboratoires et du matériel de pointe, doivent voir le jour, soutenus par l’État et les grandes institutions.
Une gouvernance à clarifier et un pilotage à renforcer
Face à l’ampleur des enjeux, les deux experts convergent sur un point : la nécessité de créer une Agence nationale de la cybersécurité. Une entité multisectorielle, agile, capable de coordonner les efforts, d’anticiper les menaces et de réagir rapidement. Elle ne viendrait pas se substituer aux structures existantes, mais les compléter, en apportant un maillon stratégique manquant.
La gouvernance des données est également un chantier à part entière. Qui collecte les données ? Qui les traite ? Pour quels usages ? Ces questions ne sont pas purement techniques : elles relèvent d’un choix de société. «Le Maroc ne doit pas se contenter de copier le RGPD», insiste Dr Ramrami. Il doit inventer son propre modèle, tenant compte de ses réalités culturelles, institutionnelles et technologiques.
Vers une culture de cybersécurité partagée
La formation reste le nerf de la guerre. Juges, avocats, fonctionnaires, chefs d’entreprise, citoyens : chacun a un rôle à jouer. Une simple négligence humaine peut suffire à compromettre un système. «La prévention est, en cybersécurité, la meilleure défense», insiste l’avocat & spécialiste en droit des technologies de l’information et de la protection des données personnelles. Il plaide pour la désignation obligatoire d’un délégué à la protection des données (DPO) dans les organisations. Ce DPO, précise-t-il, «n’engage pas sa responsabilité personnelle, mais veille à l’application des règles en interne».
La formation des magistrats est également indispensable : «Les juges doivent comprendre les concepts techniques pour juger correctement : cybersécurité, cloud, authentification, etc.», ajoute Me Kettani. Quant aux professionnels du droit eux-mêmes, ils ne sont pas épargnés : «Certains cabinets d’avocats ont été la cible de cyberattaques. Nous traitons des données extrêmement sensibles. Il faut une prise de conscience sectorielle, mais aussi une action institutionnelle, comme l’a initiée le Conseil de l’ordre de Marrakech avec la CNDP».
L’État face au défi de la souveraineté numérique
Du côté des infrastructures, le Maroc mise sur le développement d’un cloud souverain et sur la mise en place d’un encadrement juridique plus strict, notamment avec la loi 05-20 sur la cybersécurité. Pr Ramrami estime que «le Maroc doit passer à une stratégie nationale intégrée, avec un pilotage centralisé». Selon lui, cela suppose la création d’une agence nationale de la cybersécurité, capable de coordonner l’écosystème et de garantir une autonomie stratégique. Me Kettani partage cette vision : «Une agence nationale, multisectorielle, pourrait coordonner les efforts, centraliser les alertes et surtout agir de manière proactive». Il ne s’agirait pas de se substituer aux autorités existantes, mais de les compléter par une entité spécialisée, agile et réactive.
La question de la souveraineté ne se limite pas aux seules infrastructures. Elle pose aussi celle de la gouvernance des données : qui collecte ? Qui traite ? Pour quels usages ? Pour Pr Ramrami, «il est impératif de développer une gouvernance locale, éthique et inclusive. Le Maroc ne peut pas se contenter de copier le RGPD ; il doit l’adapter à ses réalités sociales, institutionnelles et technologiques».
Me Kettani ajoute que le droit marocain gagnerait à intégrer certaines obligations du RGPD, notamment la notification obligatoire des fuites de données. «Actuellement, rien n’oblige une entreprise victime de cyberattaque à informer la CNDP ni les personnes concernées. Cela freine la transparence et retarde la réaction des autorités».
«L'Info en Face» avec le cofondateur de yokamos, chercheur, enseignant & expert en cybersécurité
Azzeddine Ramrami : «La souveraineté numérique commence par une cybersécurité maîtrisée»
La multiplication des fuites de données et la recrudescence des cyberattaques posent avec acuité la question de la protection des données personnelles au Maroc. Invité de «L’Info en Face», Me Mehdi Kettani, avocat & spécialiste en droit des technologies de l’information et de la protection des données personnelles, dresse un état des lieux sans complaisance : arsenal juridique inadapté, CNDP sous-dotée, absence de notification obligatoire des fuites... Il plaide pour un sursaut réglementaire, une responsabilisation accrue des entreprises et une véritable «cyberdéfense juridique» pour les justiciables.
Le Matin : Le sujet de la cybersécurité est aujourd’hui omniprésent. Pensez-vous que le cadre juridique marocain est à la hauteur des enjeux ?
Mehdi Kettani : Le cadre juridique existe, notamment avec la loi 09-08 relative à la protection des données personnelles, ainsi que la loi 05-20 sur la cybersécurité. Le problème, ce n’est pas tant leur existence que leur application. Pendant longtemps, on a opté pour une approche pédagogique, centrée sur la sensibilisation. Aujourd’hui, face à la recrudescence des attaques, il faut passer à une logique répressive, avec de vraies sanctions. Sinon, on reste dans l’impunité.
Cette impunité concerne-t-elle aussi les fuites de données qu’on constate un peu partout, dans le public comme dans le privé ?
Tout à fait. Il y a une banalisation des atteintes à la vie privée, comme si la fuite d’un RIB ou d’un numéro de CIN n’était pas grave. Or ce sont des données sensibles. Leur diffusion peut entraîner des fraudes, des usurpations d’identité, des pertes financières. Et malgré cela, très peu d’actions judiciaires sont engagées. Les victimes ne savent pas vers qui se tourner, et les responsables de traitement échappent trop souvent à leurs obligations.
Est-ce que la fuite d’un numéro de CIN ou de RIB est considérée comme une atteinte grave à la vie privée ?
Ce type d’informations est effectivement critique. La loi impose une classification des données selon leur sensibilité. Si un nom ou un prénom seuls ne sont pas critiques, le RIB ou la CIN, eux, le sont. Leur diffusion peut avoir des conséquences lourdes : usurpation d’identité, fraudes bancaires, etc. Et ces données sont justement celles que l’on retrouve massivement aujourd’hui sur le dark web à la suite des attaques.
Une entreprise dont les données salariales ont fuité est-elle légalement responsable ?
Théoriquement oui. En tant que responsable de traitement, elle a l’obligation de protéger les données personnelles qu’elle détient. En cas de manquement, sa responsabilité peut être engagée. Cela peut donner lieu à une chaîne de responsabilité allant de l’entreprise elle-même jusqu’à l’organisme tiers ou le prestataire en cause. Malheureusement, en pratique, les actions judiciaires restent très rares, et c’est un vrai problème. L’application de la loi reste trop timide. La loi 09-08 impose aux responsables de traitement de mettre en place des mesures de sécurité. Cela ne fait aucun doute. Mais entre la théorie et la pratique, il y a un fossé. La CNDP a longtemps adopté une approche pédagogique, d’accompagnement, ce qui se justifiait au début pour faire connaître la loi. Aujourd’hui, il faut changer de registre. Les violations sont devenues trop fréquentes et trop graves pour continuer à adopter une posture uniquement bienveillante. Il est temps de sévir, de contrôler et, surtout, de sanctionner.
Justement, qui est responsable juridiquement en cas de fuite ? L’entreprise, le prestataire, l’administrateur réseau ?
Le premier responsable, c’est toujours le responsable de traitement. C’est-à-dire l’entité – entreprise, institution ou cabinet – qui détient les données. Elle a l’obligation de les sécuriser et de prendre toutes les mesures nécessaires pour en éviter l’accès non autorisé. Ensuite, en cas de sous-traitance, il peut y avoir une chaîne de responsabilités : l’hébergeur, le prestataire informatique, etc. Mais cela ne décharge pas l’entreprise de son devoir de vigilance.
Est-ce que les professions réglementées, comme les avocats ou les notaires, sont suffisamment protégées ?
Il y a eu des attaques récentes qui ont visé directement les notaires, notamment à travers la plateforme Tawtik.ma. Chez les avocats, c’est moins médiatisé, mais des cabinets ont été visés. Le bâtonnier de Casablanca a d’ailleurs publié un communiqué d’alerte. Cela montre que notre profession n’est pas à l’abri. Or nous traitons des données extrêmement sensibles, relevant du secret professionnel. Il est donc impératif d’avoir une politique de cybersécurité claire, même si les directives juridiques restent encore peu contraignantes pour nous.
Est-ce que la CNDP dispose des moyens suffisants pour faire respecter la réglementation ?
La CNDP a fait un travail pédagogique important ces dernières années. Elle a accompagné les secteurs professionnels, publié des guides, organisé des campagnes de sensibilisation. Mais aujourd’hui, il faut qu’elle entre dans une logique de contrôle et de sanction. Et pour cela, elle doit être renforcée : en effectifs, en budget et en pouvoir de coercition. Il ne s’agit plus de convaincre, mais d’imposer le respect de la loi. La réforme est indispensable. Il faut alléger la CNDP de certaines missions administratives, comme les déclarations de traitement ou les demandes d’autorisation, qui consomment une énergie considérable. À la place, il faut renforcer ses capacités d’investigation et de contrôle. C’est ce que fait la CNIL en France. Il est aussi nécessaire d’aligner notre loi sur le RGPD, en responsabilisant davantage les entreprises, en introduisant des sanctions plus fortes et, surtout, en les appliquant. Une réforme sans mise en œuvre réelle ne servirait à rien.
Le RGPD impose une notification obligatoire en cas de fuite de données. Pourquoi cela n’existe-t-il pas encore au Maroc ?
C’est une vraie lacune. Actuellement, rien dans la loi n’oblige une entreprise victime de cyberattaque à informer la CNDP ni les personnes concernées. Cela freine la transparence et retarde la réaction des autorités. Rendre cette notification obligatoire serait une avancée majeure. Non seulement cela renforcerait la confiance du public, mais cela permettrait aussi aux pouvoirs publics d’identifier plus rapidement les schémas d’attaque et d’y répondre de manière coordonnée.
Une autre bonne pratique du RGPD est la désignation d’un délégué à la protection des données dans chaque entreprise. Il va falloir l’intégrer dans notre droit. Un DPO – ou délégué à la protection des données – agit comme un référent interne. Il peut être responsable conformité, juriste, ou un autre profil formé à la protection des données. Il n’engage pas sa responsabilité personnelle, mais veille à l’application des règles en interne. Ce rôle est d’autant plus important que la prévention est, en cybersécurité, la meilleure défense.
Comment renforcer cette culture de la prévention, notamment dans les entreprises familiales, souvent très exposées ?
Il faut commencer par la formation des dirigeants. Dans les entreprises familiales, souvent dirigées par des membres d’une même famille, la cybersécurité est parfois perçue comme secondaire. Pourtant, il suffit de quelques heures de sensibilisation pour comprendre les enjeux. Ne pas ouvrir un mail douteux, éviter de stocker des données sensibles sans chiffrement, choisir des prestataires fiables... Autant de réflexes simples qui peuvent éviter des catastrophes. De leur côté, les juges sont appelés à trancher des litiges liés au numérique, or ces matières évoluent très vite. Pour juger correctement, il faut comprendre les concepts techniques : cybersécurité, cloud, authentification, etc. Des modules de formation continue doivent être intégrés à leur parcours. La conscience des enjeux est là, mais il faut renforcer leur compréhension des outils.
Un groupe de hackers a revendiqué plusieurs attaques. Pourquoi n’a-t-il pas été poursuivi ?
Parce qu’il est extrêmement difficile d’identifier formellement les membres d’un groupe de hackers. Ils n’ont ni siège social, ni structure juridique identifiable. On peut bien sûr déposer une plainte contre X, mais faire aboutir une telle procédure nécessite une coopération internationale poussée. Et malheureusement, lorsqu’il s’agit de pays d’origine avec lesquels il n’existe pas d’accord d’extradition, les poursuites restent théoriques. C’est une impunité qui ne tient pas à l’absence de volonté, mais aux limites de la justice transfrontalière.
Dernière question, une agence nationale de la cybersécurité pourrait-elle contribuer à mieux faire face à ces défis ?
Ce serait une piste sérieuse. Une agence nationale, multisectorielle pourrait coordonner les efforts, centraliser les alertes et, surtout, agir de manière proactive. Elle pourrait collaborer avec les agences étrangères et poser les bases d’une cyberdéfense plus robuste. Il ne s’agirait pas de se substituer aux autorités existantes, mais de les compléter par une entité spécialisée, agile et réactive. La réforme est inévitable. Mais elle ne pourra réussir que si elle s’accompagne d’un véritable sursaut collectif : application stricte de la loi, responsabilisation des entreprises, renforcement du rôle de la CNDP, sensibilisation de tous les acteurs – des dirigeants d’entreprises aux magistrats. La cybersécurité est l’affaire de tous, et la protection des données personnelles doit devenir un réflexe juridique et citoyen.