Souveraineté des données au Maroc : enjeux et points de vigilance pour les entreprises

Qu’implique la souveraineté des données au Maroc pour les entreprises et les institutions ? Que prévoit le cadre juridique marocain et quels sont les risques pour les données stratégiques et confidentielles des organisations ?

Avec la transformation digitale des entreprises et la multiplication des cybermenaces, la question du contrôle des données sensibles devient un enjeu stratégique. Entre dépendance aux grandes plateformes technologiques internationales et extraterritorialité de certaines législations étrangères, les organisations marocaines doivent aujourd’hui redoubler de vigilance pour protéger leur patrimoine informationnel.

L’avènement du web a profondément transformé l’économie mondiale et les usages, tant pour les particuliers que pour les entreprises et les institutions. Cette transformation a donné naissance à de nouveaux modèles économiques, culturels et juridiques.

Dans le même temps, un nombre limité d’acteurs technologiques a pris une position dominante dans l’économie digitale mondiale. Les géants américains, connus sous l’acronyme GAFAM (Google, Apple, Facebook, Amazon et Microsoft), ainsi que les groupes chinois BATX (Baidu, Alibaba, Tencent et Xiaomi), concentrent aujourd’hui une part considérable des infrastructures numériques et des services cloud utilisés par les entreprises.

Cette domination soulève des enjeux majeurs de souveraineté numérique, notamment pour les États et les entreprises qui souhaitent conserver le contrôle sur leurs données stratégiques.

Au Maroc, la question de la souveraineté numérique fait l’objet d’une attention croissante de la part des pouvoirs publics. La crise sanitaire et l’augmentation des cyberattaques ont renforcé la prise de conscience autour de la protection des données et des infrastructures critiques.

Cette dynamique se traduit notamment par les actions de la DGSSI (Direction Générale de la Sécurité des Systèmes d’Information).

Le décret n°2-15-712 du 22 mars 2016 fixe ainsi les règles de protection des systèmes d’information sensibles des infrastructures marocaines d’importance vitale. Il impose notamment que certaines données sensibles soient hébergées sur le territoire marocain.

Par ailleurs, les autorités marocaines travaillent au renforcement de la stratégie nationale digitale afin de :

• améliorer la gouvernance numérique,
• renforcer la cybersécurité,
• garantir une meilleure souveraineté des données.

Plusieurs organisations de l’écosystème digital marocain participent à cette réflexion, notamment :

• l’’APEBI (Fédération marocaine des technologies de l’information),
• l’AUSIM (Association des utilisateurs des systèmes d’information au Maroc),
• Morocco Numeric Cluster,
• Moroccan Start-up Ecosystem Catalysts.

L’un des principaux enjeux de souveraineté des données concerne l’extraterritorialité de certaines législations étrangères.

Le CLOUD Act (Clarifying Lawful Overseas Use of Data Act), adopté aux États-Unis, permet aux autorités américaines de demander l’accès aux données détenues par des entreprises américaines, même lorsque ces données sont stockées à l’étranger.

Concrètement, cela signifie que :

• des données hébergées hors du territoire américain peuvent être accessibles aux autorités américaines ;
• l’entreprise ou l’organisation concernée peut ne pas être informée de cet accès ;
• les données stratégiques d’entreprises étrangères peuvent être concernées.

Dans ce contexte, la question se pose pour les organisations marocaines : comment garantir la confidentialité de leurs données sensibles lorsqu’elles utilisent des services cloud internationaux ?

 

Les entreprises marocaines manipulent aujourd’hui des volumes considérables d’informations stratégiques :

• données financières,
• informations commerciales,
• documents juridiques,
• contenus confidentiels liés à la gouvernance.
• La protection de ces données est essentielle pour éviter :
• les risques de cyberattaques,
• les violations de données,
• l’espionnage industriel,
• les pertes d’informations sensibles.

Pour les conseils d’administration et les directions juridiques, garantir la sécurité des échanges et des documents stratégiques est devenu un enjeu central.

Cloud souverain marocain : une réponse aux enjeux de sécurité des données

Face à ces risques, de plus en plus d’organisations cherchent des solutions permettant de garantir :

• l’hébergement local des données,
• la conformité aux exigences de la DGSSI,
• la protection contre les législations extraterritoriales.

Les solutions reposant sur un cloud souverain marocain permettent ainsi de conserver la maîtrise des données stratégiques tout en renforçant la sécurité des infrastructures numériques.

Dans ce contexte, de nombreuses entreprises marocaines font le choix de solutions de gouvernance sécurisées permettant de protéger leurs données sensibles.

« Face à l’intérêt grandissant des organisations marocaines pour nos solutions, dont un des piliers fondamentaux est la sécurité des données sensibles des organisations clientes, nous avons pris l’initiative de proposer un cloud souverain marocain respectant les directives de la DGSSI », explique Yacine Gouich, Directeur Général Moyen-Orient et Afrique du Groupe DiliTrust.

La solution proposée par DiliTrust est conforme aux directives de la DGSSI et bénéficie de la certification ISO 27001, référence internationale en matière de sécurité de l’information.

Elle intègre notamment :

• des contrôles d’accès avancés,
• des mécanismes de chiffrement des données,
• des tests d’intrusion réguliers.

Grâce à l’hébergement local des données, les organisations peuvent ainsi préserver la propriété et la confidentialité de leurs informations stratégiques.

Depuis 2012, les plus grandes organisations marocaines font confiance aux solutions de DiliTrust.

Parmi elles :

• Al Mada
• La Caisse de Dépôt et de Gestion (CDG)
• L’Office National de l’Électricité et de l’Eau Potable (ONEE)
• L’Agence du Développement Digital (ADD)

Aujourd’hui :

• un quart des sociétés cotées à la Bourse de Casablanca utilisent les solutions DiliTrust ;
• les entreprises bénéficient d’un accompagnement personnalisé par une équipe arabophone dédiée ;
• les données sont hébergées dans un cloud souverain marocain conforme aux directives de la DGSSI et hors d’atteinte du CLOUD Act américain.

• Al Mada 
• La Caisse de Dépôt et de Gestion (CDG)
• Office National de l’Électricité et de l’Eau Potable (ONEE) du Maroc
• L’Agence du Développement Digital du Maroc (ADD)