Guide pratique · Conformité

Conformité CNDP d'un agent IA au Maroc : le guide opérationnel

TL;DR — Un agent IA qui traite des données personnelles au Maroc relève de la loi 09-08 et de la CNDP. La mise en conformité prend 10–15 jours ouvrés : cartographie des données, base légale, déclaration ou autorisation CNDP selon la finalité, encadrement des transferts hors Maroc (OpenAI, Anthropic, Google), DPA avec les sous-traitants, registre des traitements et information des personnes.

Pourquoi la CNDP s'applique à votre agent IA

La loi 09-08 protège les personnes physiques à l'égard des traitements de données à caractère personnel. Dès qu'un agent IA capte un nom, un numéro de téléphone, un email, un historique de conversation, une voix ou une photo d'une personne au Maroc, c'est un traitement au sens de la loi — peu importe que l'IA tourne chez OpenAI, Anthropic, Mistral ou sur un serveur en France.

La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) est l'autorité de tutelle. Selon la finalité, le traitement relève d'une simple déclaration préalable, d'une autorisation, ou d'un avis préalable. Les sanctions vont jusqu'à 300 000 MAD et engagent la responsabilité du dirigeant.

Les 5 points qui font tomber un projet IA

1) Aucune base légale clairement documentée pour l'utilisation de l'IA. 2) Transferts vers les États-Unis (OpenAI, Anthropic, Google) sans encadrement. 3) Pas de DPA signé avec le fournisseur LLM ni avec l'éditeur du BSP WhatsApp. 4) Conservation indéfinie des logs de conversation. 5) Pas d'information visible des personnes (mention RGPD-like à l'entrée du chatbot).

Les 7 étapes de la mise en conformité

Pré-requis

  • Description fonctionnelle de l'agent IA (cas d'usage, canaux, données captées)
  • Liste des sous-traitants techniques (LLM, BSP, hébergeur, CRM)
  • Contrats / DPA existants avec ces sous-traitants
  • Politique de confidentialité actuelle du site
  • Compte CNDP pour téléverser la déclaration
  1. Étape 1

    Jour 1 — Cartographie des données traitées

    Lister chaque donnée captée par l'agent : identité, contact, contenu de conversation, métadonnées (IP, horodatage), enrichissements CRM. Pour chaque champ : finalité, durée de conservation, destinataires, sous-traitants.

  2. Étape 2

    Jour 2 — Qualification de la base légale

    Choisir la base légale par finalité : consentement (marketing, profilage), exécution d'un contrat (SAV, commande), intérêt légitime (sécurité anti-fraude), obligation légale (facturation). Documenter le test de mise en balance pour l'intérêt légitime.

  3. Étape 3

    Jours 3–4 — Encadrement des transferts hors Maroc

    OpenAI, Anthropic, Google traitent depuis les États-Unis. La CNDP exige un encadrement : DPA signé, clauses contractuelles types, et idéalement une autorisation de transfert si les données sont sensibles. Activer les options de non-entraînement (OpenAI zero-retention, Anthropic no-training) et documenter.

  4. Étape 4

    Jour 5 — DPA avec tous les sous-traitants

    Signer un Data Processing Agreement avec : le fournisseur LLM, le BSP WhatsApp (360dialog, Twilio, Gupshup), l'hébergeur, le CRM, et tout outil d'analytique. Le DPA précise les instructions du responsable de traitement, les mesures de sécurité, et les conditions de sous-traitance ultérieure.

  5. Étape 5

    Jour 6 — Registre des traitements et durées de conservation

    Créer le registre interne (article 30 RGPD-like) : un traitement = une ligne. Définir des durées de conservation explicites : conversations 90 jours, logs techniques 13 mois, données client tant que la relation dure + 3 ans. Implémenter la purge automatique.

  6. Étape 6

    Jours 7–8 — Information des personnes et droits

    Mention d'information à l'entrée du chatbot (« Cet assistant est une IA, vos messages sont traités pour [finalité]. Voir politique de confidentialité »). Mise à jour de la politique de confidentialité avec : finalités, base légale, durée, destinataires, transferts, droits (accès, rectification, opposition, suppression). Lien vers un formulaire d'exercice des droits.

  7. Étape 7

    Jours 9–10 — Déclaration ou demande d'autorisation CNDP

    Déposer le dossier sur le portail CNDP. Déclaration simple pour la plupart des cas (relation client, support). Demande d'autorisation si profilage, données sensibles (santé, opinions), ou transfert vers un pays non adéquat sans encadrement reconnu. Compter 30–60 jours pour le récépissé ou l'autorisation.

Questions fréquentes

Un agent IA WhatsApp doit-il être déclaré à la CNDP ?+
Oui, dès qu'il traite des données identifiantes (numéro, nom, contenu de conversation). Une déclaration préalable suffit pour les finalités classiques de relation client. Une demande d'autorisation est nécessaire pour le profilage marketing ou les transferts non encadrés.
Peut-on utiliser OpenAI ou Anthropic au Maroc en restant conforme ?+
Oui, à condition de signer leur DPA, d'activer les options zero-retention / no-training, d'informer les utilisateurs du transfert vers les États-Unis, et de documenter l'encadrement (clauses contractuelles, mesures techniques de pseudonymisation des données envoyées au LLM).
Combien coûte la mise en conformité CNDP d'un agent IA ?+
Compter 25 000 à 60 000 MAD pour un projet PME : cartographie, rédaction des documents (DPA, politique, registre), dépôt de la déclaration et accompagnement. Une autorisation (profilage, données sensibles) ajoute 15 000 à 30 000 MAD selon la complexité du dossier.
Quelle durée de conservation pour les conversations IA ?+
Recommandation opérationnelle : 90 jours pour les conversations actives, 13 mois pour les logs techniques agrégés et pseudonymisés. Au-delà, la donnée doit être anonymisée ou supprimée. Toute durée plus longue doit être justifiée par une finalité explicite (preuve litige, obligation comptable).
Que risque-t-on en cas de contrôle CNDP sans déclaration ?+
Sanctions administratives jusqu'à 300 000 MAD par infraction, injonction de suspendre le traitement, et publication de la décision. La responsabilité pénale du dirigeant peut être engagée pour les manquements graves (collecte déloyale, transfert illicite de données sensibles).

/ À lire ensuite

Un brief technique sur ce sujet ?

Atelier de cadrage gratuit. Un fondateur, pas un commercial.