قانون حماية البيانات في المغرب: القانون رقم 09-08 وCNDP ودليل الامتثال (2026)

يخضع إطار خصوصية البيانات في المغرب للقانون رقم 09-08، الصادر عام 2009، الذي يُلزم جميع الجهات المتحكمة في البيانات بالتسجيل لدى اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) المستقلة قبل بدء أي معالجة. وتصل الغرامات الجزائية المقررة للمخالفات إلى 300,000 درهم مغربي، مع عقوبة سجن قد تبلغ سنتين.
يُعد إطار حماية البيانات في المغرب من أكثر الأطر تطوراً في أفريقيا. فقد أرسى القانون رقم 09-08، الصادر في 18 فبراير 2009، قواعد شاملة لمعالجة المعطيات ذات الطابع الشخصي، وأنشأ هيئة رقابية مستقلة هي CNDP. ودخل القانون حيز النفاذ عقب نشره في الجريدة الرسمية (Bulletin Officiel) بتاريخ 23 مارس 2009، مع فترة انتقالية مدتها سنتان انتهت في 16 مارس 2011.
ويستمد هذا الإطار الكثير من ملامحه من القانون الفرنسي المتعلق بالمعلوماتية والحريات (Loi Informatique et Libertes) ومن التوجيه الأوروبي لحماية البيانات رقم 95/46/EC، بما يعكس الروابط القانونية والاقتصادية الوثيقة بين المغرب وأوروبا. ويوفر المرسوم رقم 2-09-165 الصادر في 21 مايو 2009 اللائحة التطبيقية للقانون، محدداً التفاصيل العملية بما في ذلك تشكيل CNDP، وإجراءات التسجيل، وكيفية معالجة طلبات الترخيص.
يغطي هذا الدليل النطاق الكامل لنظام خصوصية البيانات في المغرب حتى مايو 2026، بما يشمل الأساس الدستوري، وصلاحيات CNDP، ومتطلبات التسجيل، والأسس القانونية للمعالجة، وحقوق أصحاب البيانات، وقواعد النقل عبر الحدود، والعقوبات، وآخر المستجدات التنظيمية.
إجابة سريعة: أهم الحقائق حول قانون حماية البيانات في المغرب
القانون الأساسي لحماية البيانات في المغرب هو القانون رقم 09-08 لسنة 2009. وتستلزم معالجة المعطيات ذات الطابع الشخصي تسجيلاً مسبقاً لدى CNDP، إما عن طريق تصريح (إخطار) بالنسبة للعمليات العادية، أو طلب ترخيص مسبق بالنسبة للمعالجة المتعلقة بالبيانات الحساسة أو البيومترية أو عمليات الربط بين قواعد البيانات. وتشرف CNDP على الامتثال، ويجوز لها فرض عقوبات إدارية وإحالة الملفات للمتابعة الجزائية. وتتراوح الغرامات بين 10,000 و300,000 درهم مغربي (MAD)؛ وقد تصل عقوبة السجن إلى سنتين في أخطر المخالفات.
لا يستفيد المغرب من قرار كفاية صادر عن الاتحاد الأوروبي بموجب GDPR، لكنه صادق على الاتفاقية رقم 108 لمجلس أوروبا، وتتماشى معاييره لحماية البيانات بشكل عام مع المعايير الأوروبية. أما عمليات نقل البيانات من المغرب إلى دول لا توفر حماية كافية فتستلزم ترخيصاً من CNDP أو استيفاء استثناءات محددة.
أصدرت CNDP خمس مداولات بتاريخ 28 نوفمبر 2025 (من D-939 إلى D-943)، تناولت ملفات تعريف الارتباط، والنشرات الإخبارية، ومعالجة متابعة المرضى، وكاميرات المراقبة في المؤسسات الصحية، ومراقبة الولوج إلى المقار المهنية. ولا يزال تحديث أوسع للقانون رقم 09-08 نحو مزيد من التقارب مع GDPR قيد الدراسة.
الأساس الدستوري: المادة 24 من دستور 2011
يُرسي دستور المغرب لسنة 2011، الذي اعتُمد عقب مسار الإصلاحات الذي رافق أحداث الربيع العربي، الخصوصية بوصفها حقاً أساسياً. وتنص المادة 24 على أن «لكل شخص الحق في حماية حياته الخاصة. ولا تُنتهك حرمة المسكن. ولا يمكن أن يتم أي تفتيش إلا وفق الشروط والأشكال المنصوص عليها في القانون».
وتسبق هذه الضمانة الدستورية نظام حماية البيانات التشريعي وتشكّل ركيزته. وتنطبق المادة 24 على جميع الأشخاص الموجودين في المغرب بصرف النظر عن جنسيتهم، وتضع حماية الخصوصية في المرتبة نفسها التي توضع فيها الحقوق الأساسية الأخرى، كحرية التعبير والحماية القضائية.
كما عزز دستور 2011 الرقابة القضائية على أنشطة إنفاذ القانون، مما أوجد بيئة دستورية تمنح الدور الرقابي المستقل لـCNDP شرعية مؤسسية إضافية. وعندما تفسر الجهات التنظيمية أو المحاكم القانون رقم 09-08، تشكّل المادة 24 المرجعية الأساسية: إذ تستمد قواعد حماية البيانات سلطتها من الدستور، لا من مجرد السلطة التقديرية للمشرّع.
القانون رقم 09-08 والمرسوم رقم 2-09-165: الإطار التشريعي
يحمل القانون رقم 09-08 عنوان القانون المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي (Loi relative a la protection des personnes physiques a l'egard du traitement des donnees a caractere personnel). وقد أقرّه مجلسا البرلمان معاً، وصدر بالظهير الشريف رقم 1-09-15 بتاريخ 18 فبراير 2009.
ويأتي المرسوم رقم 2-09-165 الصادر في 21 مايو 2009 لتطبيق القانون رقم 09-08. ويحدد هذا المرسوم التنظيم الداخلي لـCNDP وتشكيلها، ونماذج وإجراءات التصريحات وطلبات الترخيص، والقواعد الناظمة لمداولات CNDP، والآليات العملية لممارسة أصحاب البيانات لحقوقهم.
ويشكّل القانون رقم 09-08 والمرسوم رقم 2-09-165 معاً جوهر البنية القانونية لحماية البيانات في المغرب. وتستكمل CNDP هذا الإطار بمداولات وتوصيات ووثائق توجيهية تغطي قطاعات وأنشطة معالجة محددة.
نطاق التطبيق
يسري القانون رقم 09-08 على المعالجة الآلية للمعطيات ذات الطابع الشخصي، وكذلك على المعالجة غير الآلية للمعطيات الواردة في نظام للحفظ أو المعدة لأن تكون كذلك. ويشمل الجهات المتحكمة في البيانات في القطاعين العام والخاص العاملة داخل التراب المغربي.
ويسري القانون عندما تكون الجهة المتحكمة في البيانات مقيمة في المغرب. كما يسري عندما لا تكون هذه الجهة مقيمة في المغرب لكنها تستخدم وسائل معالجة موجودة داخل التراب المغربي، باستثناء الحالات التي تُستخدم فيها هذه الوسائل لأغراض العبور فقط.
ولا يسري القانون على معالجة البيانات التي يقوم بها شخص ذاتي لأغراض شخصية أو منزلية بحتة. كما لا يسري على المعالجة التي تتم لأغراض الدفاع الوطني أو أمن الدولة أو التحقيقات الجزائية، والتي تخضع لأطر منفصلة.
المبادئ الأساسية
يتضمن القانون رقم 09-08 ستة مبادئ أساسية يجب على كل جهة متحكمة في البيانات مراعاتها.
النزاهة والمشروعية: يجب معالجة البيانات بنزاهة ومشروعية ومن دون احتيال.
تحديد الغرض: يجب جمع البيانات لأغراض محددة وصريحة ومشروعة، ولا يجوز معالجتها بطريقة تتعارض مع تلك الأغراض.
التقليل من البيانات: يجب أن تكون البيانات ملائمة ووثيقة الصلة بالغرض وغير مفرطة بالنظر إلى الأغراض التي تُعالَج من أجلها.
الدقة: يجب أن تكون البيانات دقيقة، وأن تُحدَّث عند الضرورة. ويجب تصحيح البيانات غير الدقيقة أو الناقصة أو حذفها.
تحديد مدة الحفظ: يجب ألا تُحفَظ البيانات بشكل يسمح بتحديد هوية صاحبها لمدة أطول مما تستلزمه الأغراض المحددة.
الأمن والسرية: يجب على الجهات المتحكمة في البيانات والجهات المعالِجة لها اتخاذ التدابير التقنية والتنظيمية الملائمة لحماية المعطيات ذات الطابع الشخصي من التلف أو التغيير العرضي أو غير المشروع، أو من الإفشاء أو الولوج غير المصرح بهما.
التعريفات الأساسية
المعطيات ذات الطابع الشخصي (donnees a caractere personnel): كل معلومة تتعلق بشخص ذاتي معرَّف الهوية أو قابل للتعريف. ويُعد الشخص قابلاً للتعريف إذا أمكن التعرف عليه، بشكل مباشر أو غير مباشر، من خلال معرِّف كالاسم أو رقم التعريف أو بيانات الموقع، أو من خلال عنصر أو أكثر خاص بهويته البدنية أو النفسية أو الاقتصادية أو الثقافية أو الاجتماعية.
البيانات الحساسة (donnees sensibles): البيانات التي تكشف عن الأصل العرقي أو الإثني، أو الآراء السياسية، أو المعتقدات الدينية أو الفلسفية، أو الانتماء النقابي، أو المعلومات الصحية، أو البيانات المتعلقة بالحياة الجنسية. وتُعامل البيانات الوراثية بوصفها بيانات حساسة في ممارسة CNDP، رغم أن نص 2009 يسبق الاعتراف الواسع بالبيانات الوراثية كفئة مستقلة.
الجهة المتحكمة في المعالجة (responsable du traitement): الشخص الذاتي أو الاعتباري، أو السلطة العمومية، أو الوكالة، أو أي هيئة أخرى تحدد أغراض المعالجة ووسائلها.
الجهة المعالِجة للبيانات (sous-traitant): الشخص الذاتي أو الاعتباري الذي يعالج المعطيات ذات الطابع الشخصي نيابة عن الجهة المتحكمة. ويجب على الجهات المعالِجة التصرف وفق تعليمات موثقة صادرة عن الجهة المتحكمة، وتطبيق تدابير أمنية كافية.
المعالجة: كل عملية تُجرى على المعطيات ذات الطابع الشخصي، سواء بوسائل آلية أو غير آلية، بما في ذلك الجمع، والتسجيل، والتنظيم، والحفظ، والتكييف، والاسترجاع، والاطلاع، والاستخدام، والإفشاء، والنشر، والمطابقة، والدمج، والحجب، والمحو، أو الإتلاف.
CNDP: الهيئة المغربية لحماية البيانات
أُحدثت اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) بموجب المادة 27 من القانون رقم 09-08. وتعمل بوصفها هيئة إدارية مستقلة، لا تخضع لتعليمات الحكومة أو أي هيئة عمومية أخرى عند ممارسة مهامها الرقابية والإنفاذية.
التشكيل
بموجب المرسوم رقم 2-09-165، تتألف CNDP من رئيس وأعضاء يعيّنهم ملك المغرب لولاية مدتها ست سنوات قابلة للتجديد. ويضم الأعضاء قضاة يقترحهم المجلس الأعلى للسلطة القضائية، وبرلمانيين، وأعضاء خبراء يُختارون لكفاءتهم في مجالات القانون أو تقنية المعلومات أو الاتصالات أو المجالات ذات الصلة. ويكفل هذا التشكيل المختلط توفر الخبرة القانونية والمعرفة التقنية معاً في العمل الرقابي للجنة.
ويقع المقر الرئيسي لـCNDP في الرباط. ويمثّل رئيسها المؤسسة في علاقاتها مع الهيئات الخارجية وفي الدعاوى القضائية.
الصلاحيات والمهام الأساسية
التسجيل والترخيص: تتلقى CNDP وتعالج جميع التصريحات وطلبات الترخيص المتعلقة بمعالجة المعطيات ذات الطابع الشخصي في المغرب. وتحتفظ بسجل عمومي لأنشطة المعالجة المشروعة يمكن لأي شخص الاطلاع عليه.
التحقيقات والتفتيش: يجوز لـCNDP إجراء تحقيقات من تلقاء نفسها أو بناءً على شكاوى. ويجوز لأعوانها المؤهلين الولوج إلى الأماكن التي تجري فيها المعالجة، والاطلاع على الوثائق والمعدات، واستجواب الموظفين. ويشكّل عرقلة تحقيق تجريه CNDP جريمة مستقلة بموجب القانون رقم 09-08.
العقوبات الإدارية: يجوز لـCNDP توجيه إنذارات رسمية تطالب الجهة المتحكمة بجعل معالجتها متوافقة مع القانون خلال أجل محدد. كما يجوز لها الأمر بتعليق المعالجة أو وقفها، وسحب وصل التصريح أو الترخيص. وفي حالة استمرار عدم الامتثال، يجوز لها إحالة الملف إلى النيابة العامة.
الدور الاستشاري: تصدر CNDP آراء موجهة للحكومة والبرلمان بشأن مشاريع النصوص التشريعية التي تمس المعطيات ذات الطابع الشخصي. ويُنتظر من الوزارات استشارة CNDP عند إعداد الأنظمة التي تشمل معالجة واسعة للبيانات من قبل هيئات عمومية.
التعاون الدولي: تشارك CNDP في المؤتمر الدولي لمفوضي حماية البيانات والخصوصية، وتحافظ على اتصالات ثنائية مع هيئات حماية البيانات الأوروبية، وتؤدي دوراً نشيطاً في شبكة الهيئات الأفريقية لحماية البيانات (RAPDP).
التوجيه العمومي: تنشر CNDP مداولات وتوصيات وإرشادات قطاعية ونماذج تصريح مبسطة تحدد معايير الامتثال لعمليات المعالجة الشائعة.
توجيهات CNDP بشأن الذكاء الاصطناعي (2025)
في مارس 2025، أصدرت CNDP بلاغاً بشأن الذكاء الاصطناعي وحماية المعطيات ذات الطابع الشخصي، أشارت فيه إلى أن معالجة البيانات القائمة على الذكاء الاصطناعي تستلزم اهتماماً خاصاً بمبادئ الشفافية والإنصاف وعدم التمييز. وذكر البلاغ أن المعالجة المدفوعة بالذكاء الاصطناعي للمعطيات ذات الطابع الشخصي يجب أن تكفل للمواطنين وسائل طعن فعالة.
وبشكل منفصل، وقّعت CNDP في سبتمبر 2025 اتفاقية شراكة مع وزارة الانتقال الرقمي وإصلاح الإدارة لتطوير منصة وطنية للذكاء الاصطناعي المسؤول وإطار عمل قائم على نموذج لغوي كبير. وتعمل CNDP على إعداد مداولة خاصة بقواعد معالجة الذكاء الاصطناعي، لم تكن قد اكتملت بعد حتى مايو 2026.
نظام التصريح والترخيص
يُعد اشتراط التسجيل المسبق السمة الأبرز التي تميز القانون رقم 09-08 عن نموذج المساءلة الذاتية المعتمد في GDPR. فبموجب القانون رقم 09-08، لا يجوز للجهة المتحكمة الشروع في معالجة المعطيات ذات الطابع الشخصي قبل الحصول على وصل تصريح أو ترخيص من CNDP. ولا يوجد خيار للاكتفاء بتوثيق تقييم داخلي والمضي قدماً في المعالجة.
التصريحات (الإخطارات)
تستلزم عمليات المعالجة العادية للبيانات تقديم تصريح مسبق (declaration prealable) إلى CNDP. ويجب أن يتضمن نموذج التصريح، الذي حدّثته CNDP في سبتمبر 2025، العناصر التالية:
- هوية الجهة المتحكمة في البيانات وبيانات التواصل معها
- أغراض المعالجة
- فئات المعطيات ذات الطابع الشخصي المعالَجة
- فئات أصحاب البيانات
- الجهات المتلقية للبيانات، بما في ذلك أي جهات معالجة فرعية
- أي عمليات نقل للبيانات خارج المغرب
- وصف التدابير الأمنية المطبقة
- المدة المتوقعة للمعالجة
وتصدر CNDP وصل استلام (recepisse) بمجرد اكتمال التصريح. ويجوز الشروع في المعالجة بشكل مشروع فور صدور هذا الوصل. وبوابة التصريح الإلكترونية، المتاحة عبر cndp.ma، مجانية بالكامل.
الترخيص المسبق
تستلزم بعض عمليات المعالجة الحصول على ترخيص رسمي من CNDP قبل الشروع فيها. ويكون الترخيص إلزامياً في الحالات التالية:
- معالجة البيانات الحساسة (الصحة، الأصل العرقي أو الإثني، الآراء السياسية، المعتقدات الدينية، الانتماء النقابي، الحياة الجنسية، البيانات الوراثية)
- المعالجة المتعلقة بالبحث الوراثي أو حماية الصحة العمومية
- المعالجة المتعلقة بالربط بين قواعد بيانات ذات أغراض مختلفة أو تديرها جهات متحكمة مختلفة
- المعالجة المتعلقة برقم التعريف الوطني
- المعالجة المتعلقة بالبيانات البيومترية المستخدمة لأغراض التعرف على الهوية
وتقيّم CNDP طلبات الترخيص وفق متطلبات القانون رقم 09-08، ويجوز لها منح الترخيص من دون شروط، أو منحه مقروناً بشروط، أو رفضه. ويجب على الجهات المتحكمة عدم الشروع في المعالجة ما دام طلب الترخيص قيد الدراسة.
مداولات CNDP الصادرة في 28 نوفمبر 2025
أصدرت CNDP خمس مداولات بتاريخ 28 نوفمبر 2025 (من D-939-2025 إلى D-943-2025)، أدخلت من خلالها مسارات امتثال مبسطة لخمس فئات من أنشطة المعالجة.
المداولة D-939-2025: تُرسي نموذج تصريح مبسط لمعالجة المعطيات ذات الطابع الشخصي عبر ملفات تعريف الارتباط (الكوكيز) وتقنيات التتبع المماثلة على جهاز المستخدم. ويجوز للجهات المتحكمة التي تبقى معالجتها للكوكيز ضمن الحدود المعرّفة في هذا النموذج تقديم الاستمارة المبسطة بدلاً من تصريح عادي.
المداولة D-940-2025: تُرسي نموذج تصريح مبسط لمعالجة المعطيات ذات الطابع الشخصي في سياق إدارة النشرات الإخبارية. ويجوز للجهات المتحكمة التي تدير قوائم المشتركين وترسل نشرات إخبارية في نطاق هذا النموذج استخدام هذا المسار المبسط.
المداولة D-941-2025: توفر نموذجاً معيارياً لطلب الترخيص الخاص بمعالجة متابعة المرضى (traitements de suivi des patients) في المرافق الصحية. ويجوز للجهات المتحكمة التي تدير عمليات متابعة للمرضى تستوفي الشروط المحددة استخدام نموذج طلب الترخيص هذا بدلاً من إعداد ملف خاص.
المداولة D-942-2025: توفر نموذجاً معيارياً لطلب الترخيص الخاص بأنظمة المراقبة بالفيديو في المؤسسات الصحية (etablissements de sante). ويجوز للجهات المتحكمة التي تركّب كاميرات مراقبة في المستشفيات أو العيادات للأغراض المشمولة بهذا النموذج استخدام مسار الترخيص المبسط هذا.
المداولة D-943-2025: توفر نموذجاً معيارياً لطلب الترخيص الخاص بمعالجة مراقبة الولوج في المقار المهنية الخاصة (controle d'acces aux locaux professionnels prives). ويجوز للجهات المتحكمة التي تستخدم معطيات شخصية يتم جمعها عبر أنظمة إدارة الدخول أو الشارات، ضمن الحدود المعرّفة، استخدام نموذج الطلب هذا.
وتُعد D-939 وD-940 نموذجي تصريح مبسط (declarations simplifiees)، بما يعكس انخفاض درجة الخطورة في عمليات الكوكيز والنشرات الإخبارية. أما D-941 وD-942 وD-943 فهي نماذج معيارية لطلب الترخيص (demandes d'autorisation type)، أي أن هذه العمليات تستلزم ترخيصاً رسمياً من CNDP وليس مجرد تصريح، لكن النماذج المعيارية تخفف من عبء الإعداد. ويجب على الجهات المتحكمة التي تخرج عن حدود أي نموذج من هذه النماذج العودة إلى إجراء التصريح أو الترخيص الفردي الكامل.
الأسس القانونية للمعالجة
يحدد القانون رقم 09-08 ستة أسس قانونية لمعالجة المعطيات ذات الطابع الشخصي. ويجب على الجهة المتحكمة تحديد أساس قانوني صحيح قبل الشروع في المعالجة، والإفصاح عنه ضمن التصريح المقدم إلى CNDP.
الموافقة: يكون صاحب البيانات قد أعطى موافقة لا لبس فيها على معالجة بياناته لغرض أو أكثر من الأغراض المحددة. ويجب أن تكون الموافقة حرة ومحددة ومستنيرة وقابلة للسحب. ولا تفي الخانات المعلَّمة مسبقاً ولا الموافقات المجمّعة بهذا المعيار وفق توجيهات CNDP.
ضرورة تعاقدية: تكون المعالجة ضرورية لتنفيذ عقد يكون صاحب البيانات طرفاً فيه، أو لاتخاذ خطوات سابقة على التعاقد بناءً على طلب صاحب البيانات.
التزام قانوني: تكون المعالجة ضرورية للامتثال لالتزام قانوني تخضع له الجهة المتحكمة بموجب القانون المغربي.
المصالح الحيوية: تكون المعالجة ضرورية لحماية المصالح الحيوية لصاحب البيانات في الحالات التي يكون فيها هذا الأخير عاجزاً بدنياً أو قانونياً عن إعطاء موافقته.
المصلحة العامة أو السلطة الرسمية: تكون المعالجة ضرورية لتنفيذ مهمة ذات مصلحة عامة أو لممارسة سلطة رسمية مخوَّلة للجهة المتحكمة.
المصالح المشروعة: تكون المعالجة ضرورية لتحقيق مصالح مشروعة تسعى إليها الجهة المتحكمة أو طرف ثالث، شريطة ألا ترجح هذه المصالح على الحقوق والحريات الأساسية لصاحب البيانات. ويستلزم هذا الأساس إجراء موازنة، ولا يجوز الاستناد إليه بالنسبة للسلطات العمومية عند تصرفها بصفتها الرسمية.
أما بالنسبة للبيانات الحساسة، فيسري الحظر العام على معالجتها ما لم تتوفر موافقة صريحة أو ينطبق استثناء قانوني محدد. وتشمل هذه الاستثناءات الالتزامات المترتبة عن قانون الشغل، وحماية المصالح الحيوية، والمعالجة التي تقوم بها منظمات ذات عضوية فيما يخص أعضاءها، والمعالجة لأغراض الدعاوى القضائية.
حقوق أصحاب البيانات
يمنح القانون رقم 09-08 الأفراد في المغرب مجموعة من الحقوق المتعلقة بمعطياتهم ذات الطابع الشخصي. وتسري هذه الحقوق بصرف النظر عن كون صاحب البيانات مواطناً مغربياً أم لا؛ إذ يحمي القانون أي شخص تُعالَج بياناته من قبل جهة متحكمة خاضعة للاختصاص القضائي المغربي.
الحق في الإعلام
يجب على الجهات المتحكمة تقديم المعلومات لأصحاب البيانات عند جمعها، أو في حال الحصول عليها من أطراف ثالثة، خلال أجل معقول بعد الجمع. ويجب أن تشمل هذه المعلومات: هوية الجهة المتحكمة، وأغراض المعالجة، وما إذا كانت الإجابة إلزامية أو اختيارية، والعواقب المترتبة على عدم تقديم البيانات، والجهات المتلقية أو فئاتها، وحقوق صاحب البيانات بموجب القانون رقم 09-08.
الحق في الاطلاع
يجوز لأصحاب البيانات طلب الاطلاع على جميع المعطيات ذات الطابع الشخصي التي تحتفظ بها الجهة المتحكمة بشأنهم. ويجب على الجهة المتحكمة الرد خلال 10 أيام من تاريخ استلام طلب صحيح. ويجب أن يتضمن الرد نسخة من البيانات بصيغة مفهومة، إضافة إلى معلومات عن أغراض المعالجة وفئات البيانات والجهات التي أُفصح لها عن البيانات.
وإذا لم ترد الجهة المتحكمة خلال 10 أيام أو رفضت الطلب، يجوز لصاحب البيانات تقديم شكوى إلى CNDP أو اللجوء إلى القضاء.
الحق في التصحيح
يجوز لأصحاب البيانات طلب تصحيح أو استكمال أو تحديث أو حجب أو محو البيانات غير الدقيقة أو الناقصة أو الغامضة أو المتجاوزة، أو التي يكون جمعها أو استخدامها أو تبليغها أو حفظها محظوراً. ويجب على الجهة المتحكمة إجراء التعديلات المطلوبة مجاناً، وإخطار أي أطراف ثالثة تلقت البيانات غير الدقيقة.
الحق في الاعتراض
يجوز لأصحاب البيانات الاعتراض في أي وقت، لأسباب مشروعة، على معالجة بياناتهم. ويسري حق اعتراض مطلق على استخدام المعطيات ذات الطابع الشخصي لأغراض التسويق المباشر: إذ يجوز لأي شخص أن يطلب، مجاناً، التوقف عن استخدام بياناته لأغراض التسويق المباشر.
الحق المتعلق بالقرارات الآلية
لا يجوز إخضاع أي شخص لقرار ينتج آثاراً قانونية أو يمسه بشكل كبير إذا كان هذا القرار يستند حصرياً إلى معالجة آلية تهدف إلى تقييم جوانب من شخصيته، كالأداء المهني أو الملاءة الائتمانية أو الموثوقية أو السلوك. وتُستثنى الحالات التي يكون فيها القرار الآلي مصرحاً به بموجب القانون، أو متخذاً في إطار عقد يكون صاحب البيانات طرفاً فيه، شريطة منحه فرصة للتعبير عن وجهة نظره.
ممارسة الحقوق
يمارس أصحاب البيانات حقوقهم بتقديم طلب كتابي أو إلكتروني مباشرة إلى الجهة المتحكمة في البيانات. وإذا لم تستجب هذه الجهة بشكل مرضٍ خلال الأجل القانوني، يجوز لصاحب البيانات تقديم شكوى إلى CNDP. وتحقق CNDP في الشكاوى، ويجوز لها اتخاذ إجراءات إنفاذية ضد الجهات المتحكمة التي تنتهك حقوق أصحاب البيانات.
التعامل مع الاختراقات
لا يتضمن القانون رقم 09-08 التزاماً صريحاً بالإخطار عن الاختراقات يُلزم الجهات المتحكمة بإخطار CNDP أو الأشخاص المتضررين خلال أجل محدد، بخلاف قاعدة الـ72 ساعة المعتمدة في GDPR. غير أن الالتزام العام بالأمن بموجب القانون رقم 09-08 يفرض على الجهات المتحكمة اتخاذ تدابير تمنع الولوج غير المصرح به ومعالجة الاختراقات عند وقوعها.
وتعني صلاحيات التفتيش الممنوحة لـCNDP أنها قادرة على التحقيق في حوادث الأمن بشكل استباقي. أما الجهات المتحكمة التي تتعرض لاختراق جسيم ولا تتخذ إجراءات تصحيحية فقد تُعتبر مخالفة لمبدأ الأمن، مما يعرضها لعقوبات إدارية وإحالة جزائية.
وقد تفرض الأنظمة القطاعية الخاصة، بما فيها قواعد المؤسسات المالية ومشغلي الاتصالات، متطلبات إضافية للإبلاغ عن الاختراقات تتجاوز الحد الأدنى المنصوص عليه في القانون رقم 09-08. وينبغي للجهات المتحكمة العاملة في قطاعات منظمة التحقق من المتطلبات القطاعية المطبقة إلى جانب القانون رقم 09-08.
ويُعد غياب أجل إلزامي للإخطار عن الاختراقات في القانون رقم 09-08 أحد الثغرات التي كثيراً ما يُستشهد بها في الإطار الحالي، ومن المرجح أن يكون هدفاً لأي جهود تحديث مستقبلية.
نقل البيانات عبر الحدود
يقيّد القانون رقم 09-08 نقل المعطيات ذات الطابع الشخصي خارج المغرب إلى دول لا توفر مستوى كافياً من الحماية للمعطيات ذات الطابع الشخصي.
تقييم كفاية الحماية
تُقيّم CNDP ما إذا كانت الدولة المتلقية توفر حماية كافية. وتشمل العوامل المعتمدة: الإطار القانوني الداخلي للدولة، ووجود هيئة رقابية مستقلة تعمل بفعالية، والالتزامات الدولية للدولة في مجال حماية البيانات، والظروف الخاصة بعملية النقل المعنية. وتُعامل الدول الأعضاء في الاتحاد الأوروبي عموماً على أنها توفر حماية كافية بالنظر إلى امتثالها لـGDPR.
الاستثناءات المتعلقة بعمليات النقل من دون كفاية الحماية
عندما لا تستوفي الدولة المتلقية معيار كفاية الحماية، يجوز مع ذلك إجراء عملية النقل إذا انطبق أحد الاستثناءات التالية:
- أن يعطي صاحب البيانات موافقة صريحة على عملية النقل بعد إحاطته علماً بالمخاطر
- أن يكون النقل ضرورياً لتنفيذ عقد بين صاحب البيانات والجهة المتحكمة، أو لاتخاذ خطوات سابقة على التعاقد بناءً على طلب صاحب البيانات
- أن يكون النقل ضرورياً لعقد مبرم لمصلحة صاحب البيانات بين الجهة المتحكمة وطرف ثالث
- أن يكون النقل ضرورياً لأسباب تتعلق بالمصلحة العامة أو لإثبات حق قانوني أو ممارسته أو الدفاع عنه
- أن يكون النقل ضرورياً لحماية المصالح الحيوية لصاحب البيانات
- أن تقدم الجهة المتحكمة ضمانات كافية بشأن حماية الخصوصية والحقوق الأساسية، كأن يتم ذلك عبر بنود تعاقدية توافق عليها CNDP
وتستلزم عمليات النقل التي تستند إلى ضمانات تعاقدية الحصول على ترخيص من CNDP قبل إجراء عملية النقل.
المغرب والاتفاقية رقم 108
صادق المغرب في سبتمبر 2019 على اتفاقية مجلس أوروبا رقم 108 المتعلقة بحماية الأشخاص من المعالجة الآلية للمعطيات ذات الطابع الشخصي، ليصبح الدولة الطرف رقم 55 فيها. وتُعد الاتفاقية رقم 108 المعاهدة الدولية الوحيدة الملزمة قانوناً في مجال حماية البيانات والمفتوحة أمام الدول غير الأعضاء في مجلس أوروبا. وشكّلت مصادقة المغرب خطوة مهمة جعلت منه دولة ذات التزامات معترف بها دولياً في مجال حماية البيانات.
ويشارك المغرب في برنامج تعاون تابع لمجلس أوروبا مصمم خصيصاً لتهيئته للمصادقة على النسخة المحدثة من الاتفاقية (الاتفاقية 108+). وقد اعتُمد البروتوكول المعدِّل عام 2018، وهو يحدّث المعاهدة الأصلية ليعالج التنميط، والإخطار عن اختراقات البيانات، ومتطلبات إنفاذ معززة. وحتى أبريل 2025، كانت الاتفاقية 108+ قد حصلت على 33 مصادقة من أصل 38 مصادقة لازمة لدخولها حيز النفاذ، وظل المغرب من بين الأطراف التي لم تُتم بعد مصادقتها على البروتوكول.
وضعية الكفاية بالنسبة للاتحاد الأوروبي
لا يتوفر المغرب على قرار كفاية رسمي صادر عن المفوضية الأوروبية بموجب GDPR. وتطبّق عدة دول أعضاء في الاتحاد الأوروبي، لها روابط قانونية واقتصادية تاريخية مع المغرب، تقييماً إيجابياً بحكم الواقع، غير أن ذلك لا يحل محل قرار صادر عن المفوضية. وينبغي للمؤسسات التي تنقل معطيات ذات طابع شخصي من الاتحاد الأوروبي إلى المغرب الاعتماد على بنود تعاقدية نموذجية أو ضمانات ملائمة أخرى، بدلاً من افتراض وجود قرار كفاية.
العقوبات والإنفاذ
يُقرر القانون رقم 09-08 عقوبات جزائية على المخالفات، ويمنح CNDP صلاحيات إدارية واسعة في مجال الإنفاذ.
العقوبات الجزائية بموجب القانون رقم 09-08
| المخالفة | الغرامة (بالدرهم المغربي) | السجن |
|---|---|---|
| المعالجة من دون تصريح أو ترخيص | من 10,000 إلى 100,000 | من 3 أشهر إلى سنة واحدة |
| المعالجة بعد سحب الترخيص | من 10,000 إلى 100,000 | من 3 أشهر إلى سنة واحدة |
| رفض أو عرقلة ممارسة صاحب البيانات لحقوقه | من 10,000 إلى 100,000 | من 3 أشهر إلى سنة واحدة |
| النقل غير المرخص به إلى دولة لا توفر حماية كافية | من 10,000 إلى 100,000 | من 3 أشهر إلى سنة واحدة |
| معالجة البيانات الحساسة بشكل مخالف للقانون رقم 09-08 | من 50,000 إلى 300,000 | من 6 أشهر إلى سنتين |
| المعالجة لأغراض تتجاوز النطاق المرخص به | من 20,000 إلى 200,000 | من 3 أشهر إلى سنة واحدة |
| الإهمال الأمني الذي يسهم في ولوج غير مصرح به | من 20,000 إلى 200,000 | من 3 أشهر إلى سنة واحدة |
| عرقلة عملية تفتيش تجريها CNDP | من 10,000 إلى 100,000 | من 3 أشهر إلى سنة واحدة |
وقد تؤدي المخالفات المتكررة إلى مضاعفة الغرامات ومدة السجن. وتواجه الأشخاص الاعتبارية (الشركات) الغرامات ذاتها، ويجوز ملاحقة المديرين أو المسؤولين المتسببين في المخالفة بشكل فردي.
ويُعد المغرب من بين الولايات القضائية القليلة في العالم التي يمكن أن تفضي فيها مخالفات حماية البيانات إلى عقوبة سجن فعلية. وهو ما يجعل الامتثال لنظام التسجيل ذا أهمية خاصة بالنسبة للمؤسسات العاملة في المغرب.
العقوبات الإدارية
تشمل الأدوات الإدارية المتاحة لـCNDP ما يلي:
الإنذارات الرسمية (mises en demeure): يجوز لـCNDP مطالبة الجهة المتحكمة بجعل معالجتها متوافقة مع القانون خلال أجل محدد. ويؤدي عدم الامتثال للإنذار الرسمي إلى تصعيد الإجراء نحو خطوات أشد.
تعليق المعالجة: يجوز لـCNDP الأمر بتعليق نشاط المعالجة بشكل مؤقت. وقد يكون لهذا الإجراء أثر تشغيلي كبير على الشركات التي تعتمد على المعالجة الآلية للبيانات.
سحب التصريح أو الترخيص: يجوز لـCNDP إلغاء الوصل أو الترخيص الذي يسمح للجهة المتحكمة بمعالجة البيانات، مما يلزمها فعلياً بوقف العمليات المعنية.
الإحالة الجزائية: في حالات المخالفات الجسيمة أو المتكررة، تحيل CNDP الملف إلى النيابة العامة لمتابعة الإجراءات الجزائية.
النشر: يجوز لـCNDP نشر إجراءات الإنفاذ، بما في ذلك هوية الجهة المتحكمة وطبيعة المخالفة، في تقريرها السنوي أو على موقعها الإلكتروني.
مجالات التركيز في الإنفاذ
صرحت CNDP علناً بأن أولوياتها في التفتيش والإنفاذ تشمل مشغلي الاتصالات ومزودي خدمة الإنترنت، وشركات الخدمات المصرفية والمالية، ومقدمي الرعاية الصحية، ومنصات التجارة والتسويق الرقمي، وأصحاب العمل الذين يستخدمون أنظمة ولوج أو مراقبة بيومترية.
ومنذ 2023، تحولت CNDP نحو موقف إنفاذي أكثر صرامة بعد سنوات من إعطاء الأولوية للتوعية والتثقيف. وتواجه الجهات المتحكمة العاملة في القطاعات ذات الأولوية والتي لم تسجل بعد لدى CNDP خطراً متزايداً للتفتيش.
إصلاحات قيد الإعداد: تحديث القانون رقم 09-08
يسبق القانون رقم 09-08 اللائحة العامة لحماية البيانات (GDPR) بسبع سنوات، ولا يعكس عدة مفاهيم أساسية في الممارسة الحديثة لحماية البيانات: كمبدأ المساءلة، ومسؤولي حماية البيانات، وحماية البيانات بحكم التصميم وبحكم الإعداد الافتراضي، والإخطار الإلزامي عن الاختراقات، أو قواعد الموافقة الدقيقة الخاصة بملفات تعريف الارتباط وتقنيات التتبع.
وقد أُجريت دراسة لتحليل الفجوات بين القانون رقم 09-08 وGDPR تحت إشراف CNDP وبدعم دولي. وحددت الدراسة مجالات التقارب، بما فيها التعريفات، والنطاق الموضوعي، ومبادئ المعالجة، وضمانات النقل، ومهمة الهيئة الرقابية. كما حددت المجالات التي يقصر فيها القانون رقم 09-08، بما فيها توثيق المساءلة، ومتطلبات مسؤول حماية البيانات، وآجال الإخطار عن الاختراقات، وضمانات اتخاذ القرارات الآلية.
ويهدف سيناريو التحديث الموصى به، والوارد في مشاورات حكومية منشورة، إلى تحقيق تقارب تدريجي مع نموذج «GDPR معتدل». ويعني ذلك اعتماد قواعد مماثلة لـGDPR في الحالات التي لا يفرض فيها هذا التقارب أعباء غير متناسبة، مع الحفاظ في الوقت نفسه على نظام التسجيل المسبق باعتباره سمة أساسية للنهج المغربي.
وحتى مايو 2026، لم يُعرض على البرلمان أي مشروع قانون يهدف إلى استبدال القانون رقم 09-08 أو تعديله بشكل جوهري. وتواصل CNDP معالجة ثغرات التحديث من خلال المداولات والتوجيهات في انتظار إتمام الإصلاح التشريعي الرسمي. وستكون المؤسسات التي توائم ممارساتها مع كل من القانون رقم 09-08 وإطار GDPR في وضع جيد لمواجهة أي تغييرات تشريعية مستقبلية.
آخر المستجدات (2024-2026)
مداولات CNDP الصادرة في نوفمبر 2025: نشرت CNDP خمس مداولات بتاريخ 28 نوفمبر 2025. أدخلت D-939-2025 نموذج تصريح مبسط لمعالجة الكوكيز وتقنيات التتبع. وفعلت D-940-2025 الأمر نفسه بالنسبة لمعالجة بيانات المشتركين في النشرات الإخبارية. وأرست D-941-2025 نموذج طلب ترخيص لمعالجة متابعة المرضى في المرافق الصحية. وأرست D-942-2025 نموذج طلب ترخيص لأنظمة المراقبة بالفيديو في المؤسسات الصحية. وأرست D-943-2025 نموذج طلب ترخيص لمعالجة مراقبة الولوج في المقار المهنية الخاصة. وتخفف هذه القرارات مجتمعة من عبء الامتثال بالنسبة للعمليات الشائعة والمحددة، مع الحفاظ على رقابة CNDP.
توجيهات بشأن الذكاء الاصطناعي وحماية البيانات: في مارس 2025، أصدرت CNDP بلاغاً بشأن الذكاء الاصطناعي والمعطيات ذات الطابع الشخصي، أرست فيه أن المعالجة المدفوعة بالذكاء الاصطناعي يجب أن تستوفي متطلبات الشفافية والإنصاف وعدم التمييز بموجب القانون رقم 09-08. وفي سبتمبر 2025، وقّعت CNDP ووزارة الانتقال الرقمي اتفاقية لبناء منصة وطنية للذكاء الاصطناعي المسؤول تدمج حماية البيانات بحكم التصميم. وكانت مداولة خاصة بقواعد معالجة الذكاء الاصطناعي قيد الإعداد لدى CNDP حتى مايو 2026.
تقدم مسار الاتفاقية 108+: واصل المغرب المشاركة في برنامج التعاون التابع لمجلس أوروبا المركّز على المصادقة على الاتفاقية 108+. وحتى أبريل 2025، كانت هناك حاجة إلى سبع مصادقات إضافية من دول أطراف حتى يدخل البروتوكول حيز النفاذ، مما أبقى الضغط الدولي من أجل التحديث قائماً.
تحديث نموذج التصريح (سبتمبر 2025): نشرت CNDP نموذج تصريح معياري محدثاً (المراجعة F211، بتاريخ 10 سبتمبر 2025)، ما بسّط إجراءات تقديم التصريحات عبر الإنترنت.
الريادة الأفريقية: لا يزال المغرب ركيزة أساسية لتطوير حماية البيانات في أفريقيا من خلال مشاركته النشيطة في RAPDP. وتقدم CNDP مساعدة تقنية لهيئات نظيرة عبر القارة، وقد استلهمت عدة دول أفريقية عناصر من أطرها القانونية من تجربة المغرب مع القانون رقم 09-08.
دليل الامتثال للشركات
يتعين على المؤسسات التي تعالج المعطيات ذات الطابع الشخصي لأفراد في المغرب اتخاذ الخطوات التالية للامتثال للقانون رقم 09-08.
الخطوة 1: رسم خريطة لأنشطة معالجة البيانات لديك. حدد كل فئة من فئات المعطيات ذات الطابع الشخصي التي تعالجها مؤسستك، وأغراض المعالجة، والأساس القانوني لكل عملية، وأصحاب البيانات المعنيين، والجهات المتلقية للبيانات، وأي عمليات نقل خارج المغرب، والتدابير الأمنية المطبقة.
الخطوة 2: التسجيل لدى CNDP قبل الشروع في المعالجة. بالنسبة لكل نشاط معالجة، حدد ما إذا كان يستلزم تصريحاً أو ترخيصاً مسبقاً. فالعمليات العادية تستلزم تصريحاً يُقدَّم عبر بوابة CNDP الإلكترونية على cndp.ma. أما العمليات المتعلقة بالبيانات الحساسة أو البيانات البيومترية أو الربط بين قواعد البيانات فتستلزم طلب ترخيص رسمي. ولا تشرع في المعالجة قبل أن تصدر CNDP الوصل أو الترخيص.
تحقق مما إذا كانت معالجتك تندرج ضمن أحد النماذج المنشورة من قبل CNDP (الكوكيز، والنشرات الإخبارية، ومتابعة المرضى، وكاميرات المراقبة في المرافق الصحية، ومراقبة الولوج إلى المقار المهنية، وذلك حتى مايو 2026). واستخدم نموذج التصريح المبسط أو نموذج طلب الترخيص الملائم إذا كانت المعايير مطابقة.
الخطوة 3: مراجعة إشعارات الموافقة والإعلام. تأكد من حصول أصحاب البيانات على معلومات كاملة بشأن معالجتك عند جمع بياناتهم. أما بالنسبة للمعالجة القائمة على الموافقة، فتحقق من أن الموافقة حرة ومحددة ومستنيرة وسهلة السحب بقدر سهولة إعطائها. وحدّث إشعارات الخصوصية وآليات الموافقة على الكوكيز بما يعكس مداولات CNDP الصادرة في نوفمبر 2025.
الخطوة 4: تطبيق تدابير أمنية. يجب أن تكون التدابير التقنية والتنظيمية متناسبة مع مخاطر المعالجة. وكحد أدنى، طبّق ضوابط الولوج، وتشفير البيانات الحساسة أثناء نقلها وتخزينها، وتسجيل عمليات المراجعة، وتقييمات أمنية دورية، وإجراءً موثقاً للاستجابة للحوادث الأمنية.
الخطوة 5: إرساء إجراءات لممارسة حقوق أصحاب البيانات. ضع إجراءً لاستلام طلبات الاطلاع والتصحيح والاعتراض والتحقق منها والرد عليها. ويجب أن يتم الرد على طلبات الاطلاع خلال 10 أيام. واحتفظ بسجلات للطلبات الواردة والردود المقدمة.
الخطوة 6: مراجعة عمليات نقل البيانات عبر الحدود. إذا كانت مؤسستك تنقل معطيات ذات طابع شخصي خارج المغرب، فحدد الدولة المتلقية، وقيّم ما إذا كانت CNDP تعتبرها دولة توفر حماية كافية، وحدد الاستثناء أو الضمانة الملائمة إذا لم يكن الأمر كذلك. وتستلزم عمليات النقل التي تستند إلى ضمانات تعاقدية الحصول على ترخيص من CNDP.
الخطوة 7: تدريب الموظفين وتعيين جهة اتصال معنية بالامتثال. تأكد من أن الموظفين الذين يتعاملون مع المعطيات ذات الطابع الشخصي يفهمون متطلبات القانون رقم 09-08. وعيّن جهة اتصال مخصصة لإدارة التسجيلات لدى CNDP، ومعالجة طلبات أصحاب البيانات، والرد على الاستفسارات التنظيمية.
الخطوة 8: متابعة مستجدات CNDP. تنشر CNDP بانتظام مداولات وإرشادات ونماذج تصريح مبسطة جديدة على cndp.ma. تابع هذه المستجدات مع تقدم مسار تحديث القانون رقم 09-08.
للحصول على استشارة قانونية ملائمة لوضع مؤسستك الخاص، استشر محامياً مغربياً مؤهلاً متخصصاً في حماية البيانات.
Frequently Asked Questions
ما هو القانون رقم 09-08 ومتى دخل حيز النفاذ؟
القانون رقم 09-08 هو القانون المغربي المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، وقد صدر بالظهير الشريف رقم 1-09-15 بتاريخ 18 فبراير 2009. ونُشر في الجريدة الرسمية بتاريخ 23 مارس 2009، ودخل حيز النفاذ الكامل في 16 مارس 2011 بعد فترة انتقالية مدتها سنتان. وكان أول قانون شامل لحماية البيانات في أفريقيا.
هل يتعين علي التسجيل لدى CNDP قبل معالجة المعطيات ذات الطابع الشخصي في المغرب؟
نعم. يُلزم القانون رقم 09-08 جميع الجهات المتحكمة في البيانات بالتسجيل لدى CNDP قبل الشروع في المعالجة. وتستلزم العمليات العادية تصريحاً مسبقاً، ويجوز الشروع في المعالجة بمجرد إصدار CNDP وصل استلام. أما البيانات الحساسة والبيانات البيومترية وعمليات الربط بين قواعد البيانات فتستلزم ترخيصاً مسبقاً. وتُعد المعالجة من دون تسجيل جريمة يعاقب عليها القانون.
ما هي CNDP وما هي الصلاحيات التي تتمتع بها؟
CNDP (اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي) هي الهيئة المستقلة المكلفة بحماية البيانات في المغرب، وقد أُحدثت بموجب القانون رقم 09-08. وتشمل صلاحياتها معالجة التسجيلات، وإجراء التحقيقات والتفتيشات الميدانية، وتوجيه إنذارات امتثال رسمية، وتعليق أنشطة المعالجة، وسحب التراخيص، وإحالة الملفات إلى النيابة العامة، وإصدار توجيهات ونماذج تصريح مبسطة.
ما هي عقوبات مخالفات حماية البيانات في المغرب؟
تشمل العقوبات الجزائية بموجب القانون رقم 09-08 غرامات تتراوح بين 10,000 و300,000 درهم مغربي، وسجناً يتراوح بين 3 أشهر وسنتين، بحسب طبيعة المخالفة. وتحمل مخالفات البيانات الحساسة أعلى العقوبات (من 50,000 إلى 300,000 درهم مغربي، وسجن يصل إلى سنتين). وتشمل العقوبات الإدارية الإنذارات، وتعليق المعالجة، وسحب التسجيل لدى CNDP. وقد تؤدي المخالفات المتكررة إلى مضاعفة العقوبات.
هل يتمتع المغرب بوضعية الكفاية بموجب GDPR؟
لا. لا يتوفر المغرب على قرار كفاية رسمي صادر عن المفوضية الأوروبية بموجب GDPR. غير أن المغرب صادق على الاتفاقية رقم 108 لمجلس أوروبا في سبتمبر 2019، ويتماشى القانون رقم 09-08 بشكل عام مع المعايير الأوروبية لحماية البيانات. وينبغي للمؤسسات التي تنقل معطيات ذات طابع شخصي من الاتحاد الأوروبي إلى المغرب استخدام بنود تعاقدية نموذجية أو ضمانات ملائمة أخرى.
هل يمكن نقل المعطيات ذات الطابع الشخصي خارج المغرب؟
يُسمح بنقل البيانات إلى الدول التي تعتبرها CNDP توفر حماية كافية. أما النقل إلى دول لا تستوفي هذا المعيار فيستلزم ترخيصاً من CNDP، ويجوز أن يستند إلى استثناءات تشمل الموافقة الصريحة، أو الضرورة التعاقدية، أو المصلحة العامة، أو المصالح الحيوية لصاحب البيانات، أو ضمانات تعاقدية توافق عليها CNDP.
ما هي الحقوق التي يتمتع بها الأفراد بموجب قانون حماية البيانات المغربي؟
يتمتع الأفراد بالحق في الإعلام بشأن المعالجة عند جمع بياناتهم، والحق في الاطلاع مع التزام بالرد خلال 10 أيام، والحق في تصحيح البيانات غير الدقيقة أو الناقصة، والحق في الاعتراض على المعالجة لأسباب مشروعة، والحق المطلق في رفض استخدام بياناتهم لأغراض التسويق المباشر، والحق في عدم إخضاعهم لقرار يستند حصرياً إلى معالجة آلية تمسهم بشكل كبير.
هل يجري تحديث القانون رقم 09-08 ليتماشى مع GDPR؟
أُجريت دراسة رسمية لتحليل الفجوات بين القانون رقم 09-08 وGDPR، وقد تبنت CNDP نهجاً تدريجياً للتحديث. وحتى مايو 2026، لم يُعرض على البرلمان أي مشروع قانون. وتواصل CNDP سد الثغرات الأساسية من خلال المداولات والتوجيهات القطاعية في انتظار إتمام الإصلاح التشريعي الرسمي.
Updates
تم توسيع المقال وتحديثه ليبلغ نحو 5,800 كلمة. أُضيفت أقسام حول الأساس الدستوري (المادة 24 من دستور 2011)، واللائحة التطبيقية الصادرة بالمرسوم رقم 2-09-165، وتشكيل CNDP، وبلاغ الذكاء الاصطناعي الصادر في مارس 2025، واتفاقية منصة الذكاء الاصطناعي بين CNDP والوزارة في سبتمبر 2025، ومداولات CNDP الصادرة في نوفمبر 2025 D-939 وD-940 وD-941 وD-942 وD-943 (الكوكيز، والنشرات الإخبارية، ومتابعة المرضى، وكاميرات المراقبة في المرافق الصحية، ومراقبة الولوج)، ووضعية المصادقة على الاتفاقية 108+ حتى أبريل 2025، ودراسة تحليل الفجوات بين القانون رقم 09-08 وGDPR، ونموذج التصريح المحدث الصادر في سبتمبر 2025.
Sources and References
- CNDP - اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (الموقع الرسمي)(cndp.ma).gov
- مجلس أوروبا - الاتفاقية رقم 108 والبروتوكول المعدِّل(coe.int).gov
- الأمانة العامة للحكومة المغربية - الجريدة الرسمية(sgg.gov.ma).gov
- مجلس أوروبا - ملف حماية البيانات في المغرب(coe.int).gov
- مجلس أوروبا - المغرب يصبح الدولة الطرف رقم 55 في الاتفاقية رقم 108(coe.int).gov
- مجلس أوروبا - دعم حماية البيانات في المغرب(coe.int).gov
- DGSSI - نص القانون رقم 09-08 (المديرية العامة لأمن نظم المعلومات)(dgssi.gov.ma).gov
- الأونكتاد - تشريعات حماية البيانات والخصوصية حول العالم(unctad.org)
- شبكة الهيئات الأفريقية لحماية البيانات (RAPDP)(rapdp.org)
- مداولة CNDP رقم D-939-2025 (28 نوفمبر 2025) - التصريح المبسط الخاص بالكوكيز(cndp.ma).gov
- بلاغ CNDP - الذكاء الاصطناعي وحماية المعطيات ذات الطابع الشخصي (مارس 2025)(cndp.ma).gov
- Privacy International - وضع الخصوصية: المغرب(privacyinternational.org)
- مداولة CNDP رقم D-941-2025 (28 نوفمبر 2025) - نموذج الترخيص الخاص بمعالجة متابعة المرضى(cndp.ma)
- مداولة CNDP رقم D-942-2025 (28 نوفمبر 2025) - نموذج الترخيص الخاص بكاميرات المراقبة في المؤسسات الصحية(cndp.ma)
- مداولة CNDP رقم D-943-2025 (28 نوفمبر 2025) - نموذج الترخيص الخاص بمراقبة الولوج إلى المقار المهنية(cndp.ma)