Conformité CNDP pour vos projets IA : ce qu'il faut savoir
Au Maroc, dès qu'un système d'IA traite des données personnelles, la loi 09-08 et la CNDP entrent dans le jeu. Beaucoup d'entreprises l'apprennent tard, en plein cadrage. Voici les points clés à intégrer dès le départ pour éviter les surprises.
Avertissement
Cet article est un repère pratique, pas un avis juridique. Pour un projet engageant, faites-vous accompagner par votre conseil juridique ou directement par un cabinet spécialisé en protection des données.
Pourquoi la CNDP concerne les projets IA
Beaucoup de cas d'usage IA en entreprise traitent par nature des données personnelles :
- Recherche dans une base de contacts ou de clients
- Automatisation de tri de candidatures ou de demandes entrantes
- Assistants conversationnels qui mémorisent l'historique d'un utilisateur
- Analyse de logs d'activité ou de comportement
- Traitement de documents contenant des informations nominatives
Dès que ces données entrent dans un modèle, sont stockées dans une base vectorielle, ou sortent vers un fournisseur d'API externe : vous êtes responsable du traitement au sens de la loi 09-08.
Les obligations à connaître
1. Déclaration préalable
Tout traitement de données personnelles doit être déclaré à la CNDP avant sa mise en œuvre. La déclaration précise : finalité, catégories de données, durée de conservation, destinataires, mesures de sécurité.
Pour un projet IA, la déclaration doit inclure spécifiquement l'usage de modèles d'apprentissage et, le cas échéant, le transfert vers des fournisseurs hébergés hors Maroc.
2. Information des personnes concernées
Les personnes dont les données sont traitées doivent être informées de manière claire : finalité, base légale, responsable, durée, droits.
Pour un assistant IA conversationnel, cela signifie : un message d'information au démarrage de la conversation, et une politique de confidentialité accessible.
3. Droits des personnes
Les personnes ont droit d'accès, de rectification, d'opposition et de suppression. Pratiquement, votre système IA doit pouvoir :
- Identifier les données associées à une personne sur demande
- Les supprimer ou les anonymiser à la demande
- Tracer les traitements effectués
4. Sécurité et hébergement
Vous êtes responsable de la sécurité des données. Cela passe par : chiffrement au repos et en transit, gestion fine des accès, traçabilité des consultations, et choix d'un hébergement adapté à la sensibilité.
Pour des données très sensibles (santé, données financières, secret professionnel), l'hébergement souverain au Maroc ou l'auto-hébergement chez le client devient pertinent.
5. Transferts hors Maroc
Tout transfert de données vers un pays tiers nécessite des garanties appropriées : décision d'adéquation, clauses contractuelles types, ou consentement explicite et éclairé des personnes concernées.
Cela impacte directement le choix des fournisseurs d'API IA : envoyer des données personnelles à un service hébergé aux États-Unis sans encadrement contractuel n'est pas conforme.
Le piège du « shadow IA »
Une situation fréquente : des collaborateurs utilisent des outils IA grand public (chatbots, assistants en ligne) en y collant des données internes — emails clients, contrats, documents stratégiques. Ces données sortent de votre périmètre, partent vers un fournisseur étranger, et échappent à toute conformité.
Une charte d'usage interne et la mise à disposition d'une alternative encadrée (assistant IA interne, par exemple) sont souvent plus efficaces qu'une interdiction.
Comment littlab traite ces sujets dès le cadrage
Sur chacune de nos missions, nous intégrons les questions de conformité dès le premier atelier :
- Quels types de données seront traités et avec quelle finalité ?
- Où seront-elles stockées et qui y aura accès ?
- Quels fournisseurs externes interviennent et avec quelles garanties ?
- Comment exercerez-vous les droits des personnes ?
- Quelle est la déclaration CNDP à prévoir ?
Selon la sensibilité, nous proposons des architectures adaptées : cloud européen, hébergement dédié, ou modèles auto-hébergés chez vous.
RGPD et clients européens
Si votre activité touche des résidents européens, le RGPD s'ajoute aux obligations CNDP. Un accord de traitement de données (DPA) entre vous et littlab est alors mis en place, incluant les clauses contractuelles types pour tout transfert.
Pour aller plus loin
Si vous préparez un projet IA et que la conformité fait partie des inconnues, on peut faire un point en 30 minutes sur les questions à intégrer dans votre cadrage : projects@littlab.com.