Élections 2026 : la menace accrue des dérives numériques

Septembre 2026 sera la première élection marocaine où l'intelligence artificielle figure dans les textes de loi. Pas comme menace vague, pas comme horizon lointain, mais comme réalité juridique, encadrée, plafonnée, sanctionnée. Le pays a décidé de regarder la révolution numérique en face. Il reste à en combler les angles morts. Le mouvement a débuté bien avant la publication du décret fixant la date du scrutin. Dès l'automne 2025, le ministère de l'Intérieur soumettait au Parlement un trio législatif d'envergure : le projet de loi 55.25 sur les listes électorales et les campagnes, le projet de loi 54.25 relatif aux partis politiques, et le projet de loi 53.25 portant organisation de la Chambre des représentants. Trois textes conçus comme un ensemble cohérent, dont l'ambition commune est de moderniser en profondeur les règles du jeu démocratique et d'y intégrer, pour la première fois de façon explicite, les réalités et les défis de l'ère numérique.

Dématérialisation des candidatures

Le décret n°2.26.190, publié au Bulletin officiel le 26 mars 2026, est venu parachever ce dispositif en fixant le calendrier opérationnel : dépôt des candidatures du 31 août au 9 septembre via une plateforme électronique, campagne du 10 au 22 septembre, scrutin le 23. Ce dernier point, à savoir la dématérialisation des candidatures, constitue à lui seul une rupture. Pour la première fois, le dépôt des déclarations de candidature s'effectuera via une plateforme électronique dédiée. Le numérique n'est donc plus un accessoire de la campagne. Il en devient le cadre même. Cette bascule se traduit également sur le plan financier. Un projet de décret modificatif introduit un double plafonnement inédit des dépenses numériques, fixé à un tiers du budget global de campagne, avec un maximum absolu de 800.000 dirhams pour les listes locales et 1.500.000 dirhams pour les listes régionales.

Mais c'est une autre disposition, discrète dans sa formulation, qui marque une véritable rupture conceptuelle : pour la première fois dans l'histoire réglementaire électorale marocaine, les outils d'intelligence artificielle sont explicitement nommés parmi les «moyens numériques» soumis à ce plafonnement. La réforme ne s'arrête pas là. Elle introduit également un volet répressif inédit face aux dérives numériques que le monde entier a commencé à documenter. La législation criminalise désormais l'utilisation des réseaux sociaux, des outils d'intelligence artificielle et des plateformes numériques à des fins de commission de crimes électoraux, notamment la diffusion de contenus falsifiés, de fausses informations ou la manipulation d'images visant à diffamer des candidats, avec des peines allant de deux à cinq ans d'emprisonnement et des amendes pouvant atteindre 100.000 dirhams.

Un volet répressif inédit

La réforme place ainsi réseaux sociaux, plateformes numériques et outils d'IA au même niveau que les lieux physiques du vote, ce qui se disait hier à la sortie d'un bureau de vote relevant désormais du périmètre électoral, s'il est dit sur une story Instagram ou en direct sur TikTok. Pourtant, malgré l'étendue de ce dispositif, un angle mort subsiste, et il est de taille. Le nouveau cadre encadre la dépense, sanctionne les abus, mais reste silencieux sur ce que les partis peuvent faire avec les données personnelles des électeurs : leur collecte via des agrégateurs commerciaux, leur croisement avec des outils de profilage, leur exploitation algorithmique à des fins de ciblage micro-politique. Si le texte sanctionne quiconque obtiendrait illégalement des données issues des listes électorales pour influencer le vote, la question des données acquises en dehors de ces listes reste entière.

C'est précisément sur ce terrain que la Commission nationale de contrôle de la protection des données à caractère personnel est désormais attendue. Le Maroc n'est d'ailleurs pas seul à naviguer dans ces eaux inédites. En France, à l'occasion des élections municipales de mars 2026, la CNIL (Commission nationale de l'informatique et des libertés) a réactivé son observatoire des élections pour surveiller les pratiques de communication politique et veiller au respect des nouvelles règles sur le ciblage et l'usage de l'IA en campagne. En Europe, l'AI Act classe les systèmes d'IA à usage électoral parmi les applications «à haut risque», imposant évaluation de conformité et transparence.

Le Maroc ne dispose pas encore d'un cadre équivalent, mais les travaux engagés à la CNDP depuis mars 2025 pourraient constituer une première réponse structurée, dans une région où ces questions demeurent largement en friche. C'est dans ce contexte en pleine mutation qu'Omar Seghrouchni, président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), a accepté de répondre aux questions du «Matin». Selon lui, la Commission entend bien remplir sa mission et assumer le rôle qui est le sien. Encore faut-il que les autres acteurs jouent le jeu.

Avec l'IA, le risque est total et préoccupant en période électorale (Omar Seghrouchni)

Intelligence artificielle, deepfakes, profilage des électeurs... À six mois du scrutin du 23 septembre 2026, le président de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) ne mâche pas ses mots. Dans cet entretien exclusif accordé au «Matin», Omar Seghrouchni révèle que son institution conduit, depuis mars 2025, des travaux de délibération sur l'encadrement de l'IA en période électorale, dans un paysage institutionnel où tout le monde, reconnaît-il, n'est pas pressé d'avancer.

Élections 2026 : la menace accrue des dérives numériques

Le président de la CNDP, Omar Seghrouchni.

Le Matin : Adopté par le gouvernement, un nouveau décret électoral intègre explicitement les outils d'intelligence artificielle dans la définition des «moyens numériques» soumis au plafonnement des dépenses de campagne. Mais il ne dit rien sur la collecte et l'utilisation des données personnelles des électeurs à des fins de ciblage politique. Est-ce que la loi 09-08 évoque ce cas de figure, ou sommes-nous face à un vide juridique que la CNDP entend combler avant septembre 2026 ?

Omar Seghrouchni : La loi 09-08 est une loi transverse. Les lois transverses s’appliquent même quand il existe une loi verticale dédiée à un domaine particulier. Ceci s’explique parce qu’un traitement de données à caractère personnel est organisé, pour simplifier, en trois phases : la collecte, l’exploitation et la destruction. S’il existe une loi verticale qui légitime des modalités particulières de collecte et les finalités concernées, elle n’autorise pas un changement impromptu de finalité ou une exploitation sans règles ou une non-destruction non justifiée. En exemple, il existe un Code général des impôts qui légitime la collecte des informations nécessaires pour gérer les impôts. Ceci est normal, on ne va pas commencer à demander à chaque citoyen son consentement préalable pour qu’il paie les impôts. Mais cela n’autorise pas la Direction générale des impôts à «vendre» les données collectées à un livreur de pizzas. Par ailleurs, une loi s’applique à un traitement et non à une entité, qu’elle soit publique ou privée. Par exemple, la Direction générale des impôts se doit de respecter la loi 09-08 pour les traitements qui ne sont pas prévus dans le Code général des impôts : par exemple les contrôles d’accès, les caméras, la gestion des ressources humaines, les sites web, la gestion des fournisseurs, etc. Quand un policier sort dans la rue, il est quand même tenu de respecter le Code de la route ou certaines procédures de gestion des urgences. Donc la loi 09-08 est une loi transverse. Nous sommes heureux de voir, par exemple, que la DGSN, les FAR, la Protection civile, la Gendarmerie Royale, etc., respecter la loi 09-08 chaque fois que c’est nécessaire. Donc pour conclure, il n’y a pas de vide juridique. La loi 09-08 s’applique en cohérence avec le nouveau décret électoral. Heureusement que certains juristes ont intégré cela et nous aident à l’expliquer.

Vous avez indiqué au «Matin» que la CNDP était en discussions sur ce sujet. Pouvez-vous nous en dire plus, quelle forme cela prendra-t-il ? Une délibération-cadre, des lignes directrices adressées aux partis, un avis consultatif au gouvernement ? Et dans quel délai, sachant que la campagne électorale s'ouvre le 10 septembre ?

Nous ne sommes pas en discussion sur l’opportunité d’appliquer la loi ou pas. Nous sommes en travaux de délibération, depuis mars 2025, en recevant différents experts, différents organismes, différentes structures ou partis politiques, etc., afin de recueillir leurs avis en vue de produire une délibération cadrant l’usage de l’intelligence artificielle. Les périmètres d’usages sont multiples et ne se limitent pas au processus électoral. Cependant, celui-ci est primordial. Nous ne cherchons pas à produire une simple délibération, nous essayons d’expliquer et de convaincre les partis politiques, par exemple, de l’importance d’avoir un usage éthique des mécanismes d’intelligence artificielle : lisibilité, transparence, intégrité, respect de la dignité humaine... Parfois, nous sommes heureux de converger, parfois, nous restons perplexes. Il y a même des structures qui nous laissent entendre qu’il vaut mieux laisser cela au lendemain des prochaines élections... Le collège des commissaires, à la lumière du résultat des travaux en cours, devra décider de la suite : une délibération, une charte déontologique, un avis transmis au gouvernement, etc.

La loi 09-08 a été conçue en 2009, bien avant les réseaux sociaux tels qu'on les connaît aujourd'hui, et infiniment avant l'IA générative. Est-ce qu'elle suffit à encadrer ce que les partis peuvent faire avec les données des électeurs en campagne, le ciblage, le profilage, les contenus générés automatiquement ? Ou bien vos travaux actuels révèlent-ils qu'il faut aller au-delà de ce cadre existant ?

Comme je dis souvent, en évoquant Montesquieu, l’esprit de la loi est préservé même s’il faut clarifier et expliciter notre comportement relativement à l’évolution de notre contexte sur le plan national et sur le plan international. Les réseaux sociaux, l’IA générative, etc., restent des traitements de données à caractère personnel. La loi 09-08 est relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Donc, nous irons plus loin, mais, déjà avec le cadre actuel, il y a de quoi faire pour avancer dans le respect de la dignité humaine et citoyenne.

Vous avez vous-même alerté contre un usage prématuré ou non maîtrisé de l'IA dans des contextes sensibles, soulignant que ses résultats peuvent être «portés politiquement». Dans un contexte électoral, quels sont selon vous les risques les plus concrets – le profilage des électeurs, les deepfakes, la désinformation algorithmique ? Lequel vous préoccupe le plus ?

Pour être franc, le risque est total et préoccupant. Tous les points que vous évoquez sont inquiétants. Nous assistons à des faux débats et à des analyses parfois partielles. La maturité publique du contexte national sur ces risques reste à améliorer. Aussi bien la CNDP (Commission nationale de contrôle de la protection des données à caractère personnel) que la CDAI (Commission du droit d’accès à l’information), mais aussi d’autres institutions, sont concernées par cette situation.

Le ministère de l'Intérieur contrôle les dépenses de campagne, y compris numériques. La CNDP contrôle les données personnelles. Mais dans la pratique, un parti qui achète des données d'électeurs à un agrégateur commercial et les croise avec un outil d'IA pour cibler ses messages, qui est compétent pour le sanctionner ? Comment éviter que cette zone grise devienne un angle mort opérationnel ?

Chacune des institutions a un rôle et des prérogatives qui s’appliquent, de façon indépendante, aux périmètres qui les concernent. D’ailleurs, Il faut aussi considérer le rôle d’autres institutions, comme le Ministère public par exemple. Quand un corps humain présente un malaise, l’ophtalmologue, le cardiologue, le neurologue, le traumatologue, etc., ont des rôles indépendants, mais cohérents, non contradictoires et complémentaires. Il n’y a pas de zones grises ou d’angles morts. Il y a juste de potentielles incompréhensions qu’il faut continuer à essayer de dépasser.

La CNDP travaille depuis plusieurs années à adapter son cadre d'intervention aux mutations du numérique, avec l'objectif affiché de concilier innovation et régulation. Les élections de septembre 2026 pourraient-elles être l'occasion pour le Maroc de se positionner comme un modèle régional en matière de régulation des données électorales, notamment à l'échelle africaine et arabe où ces questions sont encore très peu traitées ?

Il n’est pas connu par tout le monde que la CNDP est déjà un acteur reconnu au niveau régional et international. La CNDP a accueilli, en 2016 à Marrakech, la Conférence internationale des Autorités de protection de données. Cette organisation mondiale a changé de nom en 2019, à Tirana, en Albanie, pour se nommer GPA (pour Global Privacy Assembly). La CNDP a fait partie des huit membres du Comité exécutif de cette organisation, durant deux mandats de deux ans, de 2021 à 2023, puis de 2023 à 2025. De plus, la CNDP coordonne encore un groupe de travail mondial, le DESWG (Digital Economy and Society Working Group). Nous assurons également, depuis 2018, le secrétariat permanent du Réseau des autorités africaines sœurs. Nous avons participé, en 2024, à l’initiation du réseau des autorités de données personnelles du monde islamique. Nous assurons la présidence de ce réseau depuis l’assemblée générale à Fès en 2025. Nous sommes signataires précurseurs de certaines résolutions au niveau mondial. Nous sommes également acteurs dans un ensemble Maroc Sahel et dans un réseau atlantique dont la première réunion s’est tenue à Rabat-Skhirate.

Ce positionnement, déjà établi, nous permet d'éviter de retarder notre économie. Nous savons, à tout moment, ce qui est fait dans d’autres pays et nous nous inspirons des meilleures pratiques pour concilier innovation et respect de la dignité humaine. Il ne s’agit pas de refuser de monter dans la voiture, mais de veiller à respecter le Code de la route pour ne pas écraser des passants. Nous n’avons pas attendu les élections de septembre 2026. La CNDP est une institution indépendante, en dehors des mandats électoraux. Selon les directives de Sa Majesté le Roi, que Dieu L’assiste, nous travaillons, d’une part, pour que tous les citoyens, dans toutes les régions du Royaume, aient les mêmes droits et devoirs au sujet de la protection des données. D’autre part, nous œuvrons pour que le Maroc soit aligné sur les standards internationaux. Plus que sur l’application basique d’une loi (qui reste à améliorer), nous travaillons sur le partage d’une culture citoyenne.

Quelles sont vos attentes pour avancer en cette période électorale ?

Nous espérons la participation de tout le monde pour respecter les données à caractère personnel et lutter contre fake news et deepfakes en particulier. Cela fait plusieurs mois que nous sollicitons les supports de presse pour leur conformité à la loi 09-08. Certains d’entre eux ont été très réactifs. D’autres sont, quelque peu, en contradiction avec eux-mêmes : Ils reprochent aux autres de ne pas respecter la loi, alors qu’ils ne font rien pour la respecter. Nous espérons, par ailleurs, que les citoyens nous signalent tout travers observé.