Guide pratique · Conformité
Conformité CNDP d'un agent IA au Maroc : le guide opérationnel
TL;DR — Un agent IA qui traite des données personnelles au Maroc relève de la loi 09-08 et de la CNDP. La mise en conformité prend 10–15 jours ouvrés : cartographie des données, base légale, déclaration ou autorisation CNDP selon la finalité, encadrement des transferts hors Maroc (OpenAI, Anthropic, Google), DPA avec les sous-traitants, registre des traitements et information des personnes.
Pourquoi la CNDP s'applique à votre agent IA
La loi 09-08 protège les personnes physiques à l'égard des traitements de données à caractère personnel. Dès qu'un agent IA capte un nom, un numéro de téléphone, un email, un historique de conversation, une voix ou une photo d'une personne au Maroc, c'est un traitement au sens de la loi — peu importe que l'IA tourne chez OpenAI, Anthropic, Mistral ou sur un serveur en France.
La CNDP (Commission Nationale de contrôle de la protection des Données à caractère Personnel) est l'autorité de tutelle. Selon la finalité, le traitement relève d'une simple déclaration préalable, d'une autorisation, ou d'un avis préalable. Les sanctions vont jusqu'à 300 000 MAD et engagent la responsabilité du dirigeant.
Les 5 points qui font tomber un projet IA
1) Aucune base légale clairement documentée pour l'utilisation de l'IA. 2) Transferts vers les États-Unis (OpenAI, Anthropic, Google) sans encadrement. 3) Pas de DPA signé avec le fournisseur LLM ni avec l'éditeur du BSP WhatsApp. 4) Conservation indéfinie des logs de conversation. 5) Pas d'information visible des personnes (mention RGPD-like à l'entrée du chatbot).
Les 7 étapes de la mise en conformité
Pré-requis
- Description fonctionnelle de l'agent IA (cas d'usage, canaux, données captées)
- Liste des sous-traitants techniques (LLM, BSP, hébergeur, CRM)
- Contrats / DPA existants avec ces sous-traitants
- Politique de confidentialité actuelle du site
- Compte CNDP pour téléverser la déclaration
Étape 1
Jour 1 — Cartographie des données traitées
Lister chaque donnée captée par l'agent : identité, contact, contenu de conversation, métadonnées (IP, horodatage), enrichissements CRM. Pour chaque champ : finalité, durée de conservation, destinataires, sous-traitants.
Étape 2
Jour 2 — Qualification de la base légale
Choisir la base légale par finalité : consentement (marketing, profilage), exécution d'un contrat (SAV, commande), intérêt légitime (sécurité anti-fraude), obligation légale (facturation). Documenter le test de mise en balance pour l'intérêt légitime.
Étape 3
Jours 3–4 — Encadrement des transferts hors Maroc
OpenAI, Anthropic, Google traitent depuis les États-Unis. La CNDP exige un encadrement : DPA signé, clauses contractuelles types, et idéalement une autorisation de transfert si les données sont sensibles. Activer les options de non-entraînement (OpenAI zero-retention, Anthropic no-training) et documenter.
Étape 4
Jour 5 — DPA avec tous les sous-traitants
Signer un Data Processing Agreement avec : le fournisseur LLM, le BSP WhatsApp (360dialog, Twilio, Gupshup), l'hébergeur, le CRM, et tout outil d'analytique. Le DPA précise les instructions du responsable de traitement, les mesures de sécurité, et les conditions de sous-traitance ultérieure.
Étape 5
Jour 6 — Registre des traitements et durées de conservation
Créer le registre interne (article 30 RGPD-like) : un traitement = une ligne. Définir des durées de conservation explicites : conversations 90 jours, logs techniques 13 mois, données client tant que la relation dure + 3 ans. Implémenter la purge automatique.
Étape 6
Jours 7–8 — Information des personnes et droits
Mention d'information à l'entrée du chatbot (« Cet assistant est une IA, vos messages sont traités pour [finalité]. Voir politique de confidentialité »). Mise à jour de la politique de confidentialité avec : finalités, base légale, durée, destinataires, transferts, droits (accès, rectification, opposition, suppression). Lien vers un formulaire d'exercice des droits.
Étape 7
Jours 9–10 — Déclaration ou demande d'autorisation CNDP
Déposer le dossier sur le portail CNDP. Déclaration simple pour la plupart des cas (relation client, support). Demande d'autorisation si profilage, données sensibles (santé, opinions), ou transfert vers un pays non adéquat sans encadrement reconnu. Compter 30–60 jours pour le récépissé ou l'autorisation.
Questions fréquentes
Un agent IA WhatsApp doit-il être déclaré à la CNDP ?+
Peut-on utiliser OpenAI ou Anthropic au Maroc en restant conforme ?+
Combien coûte la mise en conformité CNDP d'un agent IA ?+
Quelle durée de conservation pour les conversations IA ?+
Que risque-t-on en cas de contrôle CNDP sans déclaration ?+
/ À lire ensuite
Un brief technique sur ce sujet ?
Atelier de cadrage gratuit. Un fondateur, pas un commercial.