Hiba Chaker
02 Juillet 2026
À 16:50
La
ville intelligente ne se définit plus par la seule sophistication de ses équipements technologiques. Derrière les feux de circulation intelligents, les réseaux d'eau connectés, les plateformes numériques municipales ou encore les systèmes de vidéosurveillance se dessine une question devenue centrale : qui contrôle les données produites par la ville et qui garantit leur sécurité ? C'est autour de cette problématique que s'est articulée la conférence plénière du Pr
Radouane Mrabet, intitulée
«Cybersécurité, souveraineté des données et enjeux juridiques des infrastructures urbaines», présentée dans le cadre du 3e
Congrès «Bâtiments et villes durables» (BVD'26), organisé à
l'UPF University de Fès. L'universitaire a d'emblée pris ses distances avec une vision strictement technologique de la «smart city». Le concept, rappelle-t-il, ne fait d'ailleurs l'objet d'aucune définition universellement admise. Les différentes références internationales convergent toutefois vers une même idée : une ville intelligente est avant tout une ville capable d'améliorer durablement la qualité de vie, la compétitivité économique et la gouvernance grâce aux technologies numériques.
La durabilité numérique, troisième pilier des villes de demain
Dans cette lecture, la durabilité d'une ville ne repose plus seulement sur les dimensions environnementale et économique. Une troisième composante devient incontournable : la durabilité numérique. «Cybersécurité des infrastructures urbaines, souveraineté des données urbaines et protection des données personnelles» constituent désormais les trois fondements de cette nouvelle exigence, explique le chercheur. Autrement dit, une ville intelligente ne peut être considérée comme durable si elle ne maîtrise pas les informations qu'elle produit, si ses infrastructures critiques demeurent vulnérables aux cyberattaques ou si la protection des données de ses citoyens n'est pas garantie.
Cette approche est d'autant plus importante que les services publics reposent aujourd'hui sur des systèmes numériques omniprésents : transports, circulation routière, distribution d'eau potable, réseaux électriques, collecte des déchets, secours, santé, vidéosurveillance ou encore administration électronique. Tous ces services dépendent désormais d'infrastructures numériques interconnectées. Le développement des réseaux 5G, des centres de données, du cloud, de l'intelligence artificielle ou de l'Internet des objets (IoT) renforce encore cette dépendance. Si ces technologies améliorent l'efficacité des services publics et la compétitivité des territoires, elles créent également de nouvelles surfaces d'attaque pour les cybercriminels.
Une infrastructure numérique vulnérable fragilise toute la ville
Le cœur de la démonstration du Pr Mrabet repose sur un constat simple : «Une ville intelligente mal sécurisée est une ville vulnérable.» Les exemples présentés au cours de la conférence illustrent concrètement cette réalité. Une attaque contre les caméras urbaines peut conduire à leur désactivation, permettre des opérations d'espionnage ou porter atteinte à la vie privée des citoyens. Le piratage de feux de circulation intelligents est susceptible de provoquer des embouteillages massifs ou des accidents. Une intrusion dans les systèmes de gestion des réseaux d'eau pourrait modifier le fonctionnement des pompes, perturber la distribution ou affecter indirectement la qualité de l'eau. Les compteurs électriques intelligents, quant à eux, peuvent servir au profilage des habitants ou entraîner des erreurs de facturation.
Les risques concernent également les services numériques utilisés quotidiennement par les citoyens. Une application municipale compromise peut entraîner des usurpations d'identité ou des fuites de réclamations. Des réseaux Wi-Fi publics insuffisamment protégés deviennent des portes d'entrée vers les systèmes municipaux. Le recours à des services cloud étrangers expose les collectivités à une perte de maîtrise sur leurs données, voire à une interruption en cascade de plusieurs services publics. Même les systèmes d'intelligence artificielle peuvent produire des décisions injustes ou erronées lorsqu'ils reposent sur des données biaisées ou insuffisamment sécurisées.
Au-delà des conséquences techniques, ces scénarios soulèvent une question de confiance. Une ville numérique dont les infrastructures sont régulièrement compromises voit sa crédibilité fragilisée et risque de remettre en cause l'adhésion des citoyens aux politiques de transformation digitale.
Un cadre juridique marocain désormais structuré
Face à ces nouveaux risques, le Maroc s'est progressivement doté d'un arsenal juridique spécifique. Le professeur rappelle que la loi n°07-03 a introduit dans le Code pénal les infractions relatives aux systèmes de traitement automatisé des données, tandis que la loi n°05-20 relative à la cybersécurité constitue aujourd'hui le principal texte encadrant la protection et la résilience des systèmes d'information du Royaume.
Cette législation impose notamment aux entités concernées d'adopter une politique de sécurité des systèmes d'information fondée sur une analyse des risques, de désigner un responsable de la sécurité des systèmes d'information (RSSI), de déclarer sans délai les incidents significatifs à la Direction générale de la sécurité des systèmes d'information (DGSSI) et de mettre en place des plans de continuité et de reprise d'activité régulièrement testés.
Les opérateurs sont également soumis à des obligations renforcées : transparence vis-à-vis de leurs clients en cas de faille susceptible d'affecter leurs données, coopération avec la DGSSI, déploiement d'outils de détection des attaques et conservation des journaux techniques afin de faciliter les investigations tout en respectant les règles de protection de la vie privée.
La souveraineté des données, nouvel enjeu stratégique des collectivités
Au-delà de la cybersécurité, le Pr Radouane Mrabet a insisté sur une notion appelée à occuper une place croissante dans les politiques publiques : la souveraineté des données. Si le concept est encore récent, il dépasse largement la seule question de l'hébergement informatique. La souveraineté des données désigne, explique-t-il, «la capacité d'une organisation à garder la maîtrise juridique, technique et opérationnelle des données qui la concernent : savoir où elles sont hébergées, qui y accède, selon quelles règles, pour quelles finalités, avec quelles garanties de sécurité, d'audit et de réversibilité». Une définition qui traduit un changement de paradigme : la donnée devient une ressource stratégique au même titre que les infrastructures physiques.
Le professeur distingue ainsi deux catégories de données. D'un côté, les données à caractère personnel, encadrées par la loi n°09-08, qui restent la propriété des citoyens et dont l'utilisation est strictement réglementée. «Les collectivités locales peuvent les traiter, mais elles ne peuvent pas en faire ce qu'elles veulent. Elles doivent protéger la vie privée de leurs citoyens», rappelle-t-il. De l'autre, les données urbaines, qui englobent l'ensemble des informations produites par la ville : circulation, eau, énergie, transports, sécurité ou qualité de l'air... pour assurer le fonctionnement des services publics.
Or, souligne le juriste, le droit marocain ne consacre pas encore explicitement cette notion de «données urbaines». La loi 05-20 les appréhende à travers celle d'«actifs informationnels», lesquels doivent être classifiés selon leur niveau de sensibilité et l'impact potentiel qu'aurait un incident sur leur confidentialité, leur intégrité ou leur disponibilité. Les données classées «Très secret» ou «Secret» sont ainsi considérées comme des données sensibles, appelant un niveau de protection renforcé.
Un socle juridique solide, mais encore insuffisant
Le diagnostic formulé par le Pr Radouane Mrabet est nuancé. Le Maroc dispose aujourd'hui d'un cadre législatif robuste, qui constitue une avancée majeure pour la sécurisation du cyberespace national. La loi 05-20 organise la protection des entités et des infrastructures d'importance vitale, encadre les obligations des opérateurs, favorise l'hébergement national des données sensibles et instaure un mécanisme de qualification des prestataires cloud. Autant de dispositions qui renforcent progressivement la souveraineté numérique du Royaume. Pour autant, le chercheur estime que le droit, à lui seul, ne suffira pas à protéger les villes intelligentes. «Le défi majeur, souligne-t-il, est que le cadre juridique constitue une condition nécessaire, mais non suffisante. La souveraineté numérique exige une gouvernance locale proactive.»
Cette gouvernance suppose d'abord que les collectivités territoriales s'approprient pleinement les exigences de la cybersécurité. La présentation interroge d'ailleurs explicitement leur niveau de conformité aux obligations prévues par la loi 05-20, laissant entendre que des marges importantes de progression subsistent, notamment en matière d'organisation, de gouvernance et de préparation opérationnelle. Le développement des villes intelligentes soulève également plusieurs défis structurels : dépendance vis-à-vis des prestataires privés, interopérabilité des solutions numériques, coût des investissements, manque de compétences spécialisées ou encore nécessité de renforcer l'acceptabilité citoyenne de ces nouveaux dispositifs.
En conclusion de son intervention, le Pr Radouane Mrabet plaide pour une approche de la cybersécurité qui ne soit plus corrective mais préventive. Autrement dit, les projets de villes intelligentes devraient intégrer les exigences de sécurité et de souveraineté dès leur phase de conception. La protection des données, leur localisation, les modalités d'accès ou encore les mécanismes de contrôle ne devraient plus être pensés une fois les infrastructures déployées, mais constituer un élément fondateur de leur architecture.
L'universitaire recommande également de renforcer la formation des élus locaux et des responsables de la sécurité des systèmes d'information (RSSI), de s'appuyer davantage sur les expertises nationales, notamment celles de la Direction générale de la sécurité des systèmes d'information, de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP) et des prestataires cloud qualifiés, tout en développant une véritable culture de la résilience à travers des exercices réguliers de simulation de cyberattaques.