Sécurité juridique et transformation digitale : un équilibre à réinventer – Pr. Karim SEFFAR – Imane TAIBI – Soufiane MOUHSSINE

Sécurité juridique et transformation digitale : un équilibre à réinventer

Legal security in the age of digital transformation: a balance to be redefined

Pr. Karim SEFFAR

Professeur au département de droit privé

Droit privé, Laboratoire : Justice, Droit et Systèmes comparés

Faculté des sciences juridiques, économiques et sociales Ain-Chock,

Université Hassan II – Casablanca, Maroc

Imane TAIBI

Doctorante en droit privé

Laboratoire : Justice, Droit et Systèmes comparés

Soufiane MOUHSSINE

Doctorant en droit privé

Laboratoire : Justice, Droit et Systèmes comparés

هذا البحث منشور في مجلة القانون والأعمال الدولية الإصدار رقم 59 الخاص بشهر غشت / شتنبر 2025

رابط تسجيل الاصدار في DOI

https://doi.org/10.63585/KWIZ8576

للنشر و الاستعلام
mforki22@gmail.com
الواتساب 00212687407665

Sécurité juridique et transformation digitale : un équilibre à réinventer

Legal security in the age of digital transformation: a balance to be redefined

Pr. Karim SEFFAR

Professeur au département de droit privé

Droit privé, Laboratoire : Justice, Droit et Systèmes comparés

Faculté des sciences juridiques, économiques et sociales Ain-Chock,

Université Hassan II – Casablanca, Maroc

Imane TAIBI

Doctorante en droit privé

Laboratoire : Justice, Droit et Systèmes comparés

Soufiane MOUHSSINE

Doctorant en droit privé

Laboratoire : Justice, Droit et Systèmes comparés

Abstract:

Digitalization fundamentally challenges the traditional foundations of legal certainty. By reshaping concepts such as territoriality, liability, and legal qualification, it undermines normative reference points and creates regulatory grey areas. This article examines the current limitations of legal frameworks in addressing digital realities, specifically in the areas of personal data, digital identity, and cybersecurity. Through a comparative approach, it examines the normative responses adopted by various legal systems, while highlighting Morocco’s position within the global cybersecurity landscape. The analysis highlights the need for a conceptual and operational reconfiguration of legal certainty, based on a forward-looking, coherent, and technically adaptable regulatory framework tailored to the complexities of digital environments.

Keywords: Digitalization; Legal security; Regulation; Digital identity; governance.

Résumé :

La digitalisation remet profondément en question les cadres classiques de la sécurité juridique. En redéfinissant les notions de territorialité, de responsabilité et de qualification juridique, elle fragilise les repères normatifs et engendre des zones d’incertitude difficilement régulables. Cet article analyse les limites actuelles du droit face aux réalités numériques, notamment en matière de données à caractère personnel, d’identité numérique et de cybersécurité. À partir d’une approche comparée, il examine les réponses normatives apportées par différentes législations, tout en mettant en lumière le positionnement du Maroc dans l’écosystème mondial de la cybersécurité. Il en ressort la nécessité d’une refondation conceptuelle et opérationnelle de la sécurité juridique, fondée sur une approche anticipative, cohérente et adaptée à la complexité technique des environnements numériques.

Mots clés : Digitalisation ; Sécurité juridique ; Règlementation ; Identité numérique ; Gouvernance.

Introduction

« Le droit, c’est la sécurité ou c’est rien »^[1]

L’avènement de l’ère numérique, caractérisé par la digitalisation, l’automatisation et l’interopérabilité, transforme en profondeur les repères sur lesquels s’appuie traditionnellement le droit^[2]. L’automatisation des décisions, la circulation instantanée des données et la multiplication des interfaces dématérialisées imposent un mode d’organisation du réel qui échappe aux cadres existants. Ce déplacement des formes et des supports ne laisse pas intacte la fonction normative. La règle de droit, conçue pour s’appliquer le plus souvent à des faits tangibles et localisés, se trouve confrontée à des objets mouvants, déterritorialisés, parfois même invisibles. Cette transformation engendre une « réalité virtuelle »^[3] qui bouleverse les cadres juridiques classiques et remet en question des notions fondamentales telles que la territorialité, la responsabilité et la qualification juridique^[4]. De ce fait, le droit existant peut être perçu pour comme « caduc, souvent inapproprié ou incorrect, voire inexistant »^[5], laissant ainsi émerger des zones d’incertitude préjudiciables à la sécurité juridique.

Avant toute analyse, il convient d’éclaircir d’abord les deux notions clés du propos. La sécurité juridique, en premier lieu, constitue un fondement structurant de tout ordre juridique attaché à l’État de droit^[6]. Dans son acception classique, elle renvoie à une forme de protection assurée par le droit où l’individu est mis à l’abri de l’arbitraire par l’existence de normes claires, stables et opposables. Sa portée demeure pourtant difficile à cerner avec exactitude. Sa plurivocité et sa polysémie sont largement reconnues par la doctrine^[7], au point qu’il est souvent plus aisé de la comprendre que de la définir. Elle peut néanmoins être appréhendée comme « l’idéal de fiabilité d’un droit accessible et compréhensible qui permet aux sujets de droit de prévoir raisonnablement les conséquences juridiques de leurs actes ou comportements, et qui respecte les prévisions légitimes déjà bâties par les sujets de droit dont il favorise la réalisation »^[8]. Trois éléments objectifs permettent d’en structurer l’exigence : l’accessibilité et l’intelligibilité des normes, la stabilité des règles applicables, et enfin la possibilité, pour les destinataires de la norme, d’anticiper raisonnablement les effets juridiques de leurs actions.

En deuxième lieu, la digitalisation, souvent utilisée de manière interchangeable avec la transformation digitale ou la numérisation, peut être comprise comme le procédé visant à transformer un objet, un outil, un processus ou un métier en un code informatique pour le remplacer et améliorer ses performances^[9]. Plus globalement, elle signifie l’intégration d’outils, de termes et de méthodes numériques dans la stratégie globale et les activités quotidiennes d’une entité^[10]. Son objectif est souvent de modifier le fonctionnement et d’apporter de la valeur, menant à une transformation de l’organisation et potentiellement de son modèle d’affaires.

Pour le droit, la sécurité juridique, qui repose sur la possibilité de comprendre les normes et d’anticiper leurs effets, se trouve progressivement fragilisée. L’incertitude naît moins d’un vide normatif, que d’un écart entre la conception juridique de l’acte et sa réalité numérique. Ce désajustement affecte la validité, l’efficacité et parfois même la légitimité des cadres classiques. La digitalisation exige ainsi une réévaluation des repères juridiques, afin de préserver la sécurité juridique face à la circulation instantanée des données et à l’émergence de nouvelles formes de services et d’interactions.

À cet égard, une problématique fondamentale s’impose : Dans quelle mesure les cadres juridiques actuels, tant au niveau national qu’international, parviennent-ils à concilier les impératifs de sécurité juridique avec les défis posés par la digitalisation, et quelles réformes pourraient être envisagées pour renforcer cette adéquation ? Pour répondre à cette problématique, notre analyse s’articulera en deux parties principales. Dans un premier temps, il s’agira de montrer comment la sécurité juridique est confrontée aux défis spécifiques du numérique (I). Dans un second temps, il conviendra d’examiner comment cette sécurité peut être repensée et adaptée aux nouvelles exigences du monde digitalisé (II).

1. La sécurité juridique confrontée aux défis digitaux

La digitalisation ébranle les fondements de la sécurité juridique, en la confrontant à des défis inédits. D’un côté, la clarté et l’application des normes juridiques sont mises à mal par des environnements virtuels qui brouillent les cadres juridiques traditionnels (A). De l’autre, le numérique engendre des risques spécifiques, des cybermenaces à la fragilisation des données à caractère personnel ; ce qui remet en cause la sécurité des individus et des institutions (B).

1. Les défis liés à l’application et à la clarté du droit à l’ère digitale

Le premier défi que soulève l’adaptation du droit à la digitalisation tient à l’inadéquation des catégories juridiques existantes face à la complexification des objets numériques^[11]. La digitalisation opère bien au-delà de la numérisation des supports ; elle produit une dissociation entre l’objet matériel et sa représentation numérique^[12]. Celui-ci acquiert une existence propre dans l’ordre informationnel^[13]. Ce processus engendre des situations dans lesquelles un même bien donne lieu à deux régimes juridiques concurrents^[14] ; l’un ancré dans le droit des biens traditionnel, l’autre inscrit dans des environnements numériques dont la structure échappe aux critères classiques de localisation, de titularité et de maîtrise.

Cette dissociation remet en cause l’applicabilité des qualifications établies. Par exemple, lorsqu’un objet physique possède un équivalent numérique, que ce soit sous forme de fichier, d’interface interactive ou de représentation en réalité augmentée, il devient nécessaire de déterminer si l’objet numérique constitue une simple modalité d’accès, un bien autonome ou un accessoire. Or, le droit positif actuel ne fournit pas toujours de fondement normatif clair permettant de trancher ces situations. La frontière entre le support et le contenu, entre l’outil et la donnée, entre la chose et l’information, tend à perdre sa netteté^[15]. Dans certains cas, cette perte de repères empêche de qualifier juridiquement les situations, ce qui rend les régimes applicables instables et expose les acteurs à une insécurité juridique.

La digitalisation généralisée des services et des activités entraîne l’apparition de pratiques inédites, pour lesquelles le droit positif ne prévoit pas toujours de régime applicable, ou dont la couverture normative reste lacunaire. Les dispositifs actuels, souvent construits à partir de logiques antérieures à l’ère numérique, ne suffisent plus pour encadrer des usages fondés sur l’algorithmisation, l’automatisation des traitements ou la circulation transfrontalière des données.

Un exemple particulièrement significatif concerne la gestion des données à caractère personnel, et plus précisément les opérations dites d’occultation^[16], d’anonymisation et de pseudonymisation^[17]. Malgré que ces notions soient devenues centrales dans les dispositifs de protection des données, leur définition exacte reste ambiguë sur le plan juridique^[18]. Ni le texte du Règlement Général sur la Protection des Données européen ni la loi marocaine ne parviennent à établir des critères opérationnels permettant de déterminer avec précision, dans chaque cas concret, le degré de réversibilité ou d’irréversibilité de ces traitements^[19], ce qui crée une incertitude juridique persistante, en particulier pour les responsables de traitement.

Cette incertitude est d’autant plus problématique que ces notions conditionnent des choix structurants en matière de droit applicable, d’obligations de sécurité, ou encore de qualification des responsabilités. Or, en l’absence de clarification normative, les pratiques divergent ; ce qui expose les acteurs à des risques juridiques, notamment en cas de requalification a posteriori. Par ailleurs, la notion d’identité numérique demeure, elle aussi, insuffisamment encadrée par le droit^[20].

Trop souvent réduite à un simple agrégat de données personnelles identifiables, l’identité numérique est confondue avec la personne elle-même, alors qu’elle peut correspondre à une construction partielle, contextuelle, parfois volontairement altérée, voire fictive. Ce décalage entre la présence numérique d’un individu et son existence réelle introduit une dissonance que le droit peine à intégrer^[21]. En persistant à assimiler systématiquement l’identité numérique et l’identité civile ou administrative, les textes normatifs ignorent la spécificité des modes d’existence propres aux environnements numériques. Il en résulte un traitement juridique inadéquat de nombreuses situations, telles que l’usurpation d’identité dans des environnements pseudonymes, la gestion des réputations numériques ou la reconnaissance de droits liés à une présence exclusivement virtuelle. En l’état actuel, la construction juridique de l’identité numérique repose davantage sur des raisonnements implicites que sur un cadre conceptuel et normatif cohérent, ce qui fragilise l’ensemble de l’édifice juridique relatif aux libertés numériques.

Le second défi réside dans l’application pratique du droit dans l’espace digital, un espace déterritorialisé et transnational^[22]. La digitalisation produit un espace qui échappe aux repères traditionnels de territorialité, de linéarité procédurale et de centralisation normative. Ce nouvel environnement, essentiellement transfrontalier et dématérialisé, complique l’identification des règles applicables, des juridictions compétentes et des entités responsables.

Le cadre normatif national, historiquement construit autour d’un ancrage territorial, peine à régir des flux de données, des relations contractuelles ou des atteintes juridiques qui se produisent dans un écosystème distribué, où les traitements informatiques se déploient simultanément sur plusieurs territoires sans lien évident avec une souveraineté déterminée. Cette situation crée des incertitudes quant à la compétence des autorités nationales et à l’application extraterritoriale des normes juridiques, notamment en matière de protection des données à caractère personnel. Les mécanismes juridiques conçus pour garantir les droits des individus perdent une partie de leur portée dans un contexte où la prolifération des traitements numériques rend matériellement impossible une gestion exhaustive et individualisée de l’information^[23]. L’utilisateur ne dispose ni des moyens techniques, ni des outils juridiques nécessaires pour contrôler de manière effective la collecte, le stockage, la combinaison et la diffusion de ses données, lesquelles transitent par des infrastructures dispersées, souvent hors de portée des autorités de régulation^[24].

La digitalisation engendre également une dilution des responsabilités juridiques^[25]. Lorsque des systèmes algorithmiques ou des logiciels complexes traitent des volumes massifs de données sans intervention humaine directe, il devient difficile de désigner un responsable identifiable, capable d’assumer les conséquences juridiques d’un dysfonctionnement, d’une atteinte à la sécurité ou d’un usage non autorisé des données^[26]. Le droit de la responsabilité, fondé sur la logique de causalité et sur l’identification d’un fait générateur imputable, se trouve ainsi confronté à des objets techniques autonomes qui échappent aux catégories classiques du droit civil et pénal. En outre, l’inadaptation des outils juridiques face à la complexité des systèmes numériques contribue à l’émergence d’une forme de vide normatif dans certains segments du cyberespace, où les atteintes aux droits fondamentaux peuvent demeurer sans réponse juridique effective. Cet écart entre la capacité technologique des acteurs numériques et les moyens juridiques mobilisables pour encadrer leurs actions fragilise l’État de droit et compromet la confiance des individus dans la régulation numérique^[27].

Après avoir examiné les défis liés à l’application et à la clarté du droit à l’ère numérique, il est essentiel de se pencher sur les risques et dangers spécifiques que la digitalisation induit directement au sein de cet environnement digital.

1. Les risques et dangers spécifiques induits par le digital

La digitalisation dans tous les secteurs et domaines engendre une série de risques et de dangers spécifiques^[28]. Elle est un « défi de sécurité émergent » ^[29], capable de mettre en péril la structure matérielle et normative des individus, des sociétés et des États. Sur le plan technique, elle introduit des risques de falsification et de perte de données en raison de la forte variabilité des données numériques, ainsi que des risques liés à l’obsolescence technique^[30]. Ces risques sont souvent sous-estimés par les décideurs^[31], même si les spécialistes de la sécurité des systèmes d’information les prennent en compte. On peut les classer en deux grands ensembles.

Un premier ensemble de risques propres à la digitalisation concerne la vulnérabilité croissante des systèmes d’information face aux cybermenaces. Ces risques, bien identifiés dans la littérature en sécurité informatique^[32], posent aujourd’hui des difficultés d’encadrement juridique, tant en matière de prévention que de réponse. L’ampleur et la sophistication des attaques informatiques excèdent largement les capacités de régulation des autorités étatiques, confrontées à des techniques évolutives, souvent distribuées et difficilement localisables.

Les logiciels malveillants, les intrusions ciblées et les procédés de piratage reposent désormais sur des logiques de profilage avancé, permettant à des attaquants d’adapter leurs actions à des profils d’usagers spécifiques. Cette évolution rend obsolète l’approche défensive généralisée fondée sur des mesures techniques standard, et appelle à une réévaluation du périmètre des obligations juridiques en matière de sécurité numérique. Les atteintes ne sont plus aléatoires ou opportunistes, elles sont dirigées vers des cibles sélectionnées selon des critères précis, parfois à l’initiative d’acteurs organisés, qu’ils soient criminels, étatiques ou paraétatiques. Les infrastructures digitalisées dites critiques, telles que les systèmes de contrôle de l’énergie, de la santé, des télécommunications ou des transports, représentent des cibles particulièrement sensibles^[33]. L’interconnexion de ces infrastructures avec des réseaux numériques expose leur fonctionnement à des intrusions pouvant avoir des conséquences majeures sur l’ordre public, la continuité des services essentiels, et la sécurité nationale.

Il convient de rappeler qu’un logiciel peut être conforme à sa spécification fonctionnelle tout en générant, dans un environnement numérique instable, un comportement inattendu susceptible de mettre en danger la sécurité des utilisateurs ou l’intégrité du système. Cette incertitude, inhérente à tout processus numérique, rend le risque informatique particulièrement difficile à anticiper dans les cadres juridiques traditionnels^[34]. La sécurité numérique peut être comprise, dans une approche juridique du risque, comme la résultante d’un double facteur : l’existence de menaces intentionnelles ou accidentelles, et l’exposition à des vulnérabilités techniques. Cette interaction constitue un danger pour la réalisation des objectifs économiques, sociaux et stratégiques des entités concernées^[35]. En affectant les trois piliers de la sécurité de l’information, confidentialité, intégrité et disponibilité, le risque numérique met en péril non seulement les droits fondamentaux des individus, mais aussi la stabilité des fonctions publiques et privées vitales.

Un deuxième type de risques spécifiques concerne la protection des données à caractère personnel et la maîtrise de l’identité numérique. La digitalisation croissante des services, qu’ils soient administratifs, commerciaux ou sociaux, accentue la centralité des données dans les interactions entre les individus et les systèmes. Cette centralité s’accompagne d’un accroissement des risques d’atteinte à la vie privée, à l’intégrité informationnelle des personnes et, plus largement, à la confiance dans les dispositifs numériques. La protection des données ne peut aujourd’hui être appréhendée uniquement sous l’angle de leur collecte ou de leur stockage. Elle doit aussi intégrer les problématiques liées à leur circulation, à leur réidentification et à leur exploitation algorithmique. Ces risques sont d’autant plus préoccupants que les cadres juridiques existants peinent à suivre la sophistication croissante des traitements opérés sur ces données, souvent en l’absence de consentement éclairé ou dans des conditions de transparence insuffisante.

La notion d’« identité numérique », fréquemment mobilisée dans la littérature juridique^[36], souffre d’une ambiguïté conceptuelle. Elle tend à être assimilée à une simple agrégation de données à caractère personnel permettant l’identification d’un individu, alors qu’elle recouvre en réalité un ensemble plus large de manifestations numériques, parfois déconnectées de l’identité civile ou juridique au sens classique^[37]. L’usage de cette identité numérique dans des contextes variés tels que l’authentification en ligne ou l’e-administration donne lieu à des formes de présence numériques multiples et fragmentées, susceptibles d’induire des interprétations erronées sur la personnalité ou la volonté de l’usager. Les dispositifs d’identification fondés sur des données biométriques, en particulier, posent des difficultés spécifiques. D’un point de vue juridique, ces procédés reposent sur des caractéristiques inaltérables et difficilement révocables, ce qui renforce le risque en cas de compromission. L’enregistrement et le traitement de ces données doivent faire l’objet de garanties renforcées, tant en matière de proportionnalité que de finalité. Par ailleurs, leur usage suscite des réticences en termes d’acceptabilité sociale, notamment en raison de la perception d’une surveillance généralisée ou d’un contrôle intrusif.

La régulation de l’identité numérique, en l’état actuel du droit, demeure insuffisamment structurée. Les régimes applicables varient selon les finalités poursuivies (sécurité, commerce, santé, etc.) et les instruments juridiques utilisés (règlements sectoriels, standards techniques, contrats d’utilisation), ce qui aboutit à une fragmentation du traitement juridique de l’identité dans l’environnement numérique. Cette fragmentation alimente une incertitude normative qui mine la lisibilité des obligations des opérateurs et fragilise la position juridique des individus.

1. La sécurité juridique adaptée aux exigences digitales

La sécurité juridique, lorsqu’elle répond de manière prompte, adéquate et explicite, en offrant des définitions claires et des réponses ajustées aux exigences de ce monde digital qui évolue à vitesse grand V, constitue un véritable bond en avant. En revanche, si elle fait défaut à ces critères, elle laisse un écart juridique. Dans cette optique, il est important d’analyser, dans un premier temps, le positionnement du Maroc à l’échelle mondiale au sein de cet écosystème de réponses, ainsi que les résultats tangibles, car ce sont avant tout les données chiffrées qui témoignent de l’efficacité des mesures adoptées (A). Parallèlement, la seconde partie sera consacrée à l’analyse des réponses normatives apportées par diverses législations en vue de réglementer le cyberespace (B).

1. Positionnement du Maroc dans l’écosystème mondial de la cybersécurité

Vu que jamais le péril n’a été aussi important pour nos sociétés, la mise en place des stratégies cybernétiques résilientes s’impose comme un impératif pour tout pays aspirant à une transition digitale compétitive^[38]. Cet appel s’inscrit au cœur même des préoccupations stratégiques contemporaines, particulièrement au sein du Royaume chérifien, où il bénéficie d’une attention soutenue des plus hautes instances décisionnelles. Ainsi, cela s’est manifesté lors de la cinquième édition du séminaire « Cyber Security Conclave – Morocco », événement au cours duquel Abdellatif Loudiyi, ministre délégué auprès du Chef du gouvernement chargé de l’administration de la défense nationale, a souligné que le « Maroc, sous le leadership éclairé de Sa Majesté le Roi, vise à accélérer le processus de modernisation et de digitalisation de ses structures administratives, économiques et sociétales sans perdre de vue la nécessité de mettre en place un cyberespace sûr et sécurisé »^[39].

Dans la continuité de cet engagement, le Général de Brigade El Mostafa Rabii a renforcé cette perspective stratégique en annonçant que : « Le Maroc a fait de la cybersécurité une priorité nationale sous le leadership de SM le Roi Mohammed VI, et ce, à travers la mise en place de structures de gouvernance et de stratégies nationales ambitieuses, dans le but de renforcer la résilience des infrastructures critiques et de développer les capacités du centre national de gestion des cyber-incidents (Moroccan Computer Emergency Response Team – maCERT) ».^[40] Toutefois, ces rhétoriques, aussi volontaristes soient-elles, ne sauraient constituer des paramètres suffisants d’évaluation sans l’ajout de métriques objectivables et reconnus au niveau international.

C’est précisément dans cette perspective que l’Indice mondial de la cybersécurité (GCI) émerge comme un instrument analytique incontournable^[41], permettant de transcender les discours pour appréhender tangiblement l’engagement substantiel des États en matière de sécurisation de leurs écosystèmes numériques. Fruit d’une maturation méthodologique entamée en 2015, la cinquième édition du GCI, conçue par l’Union Internationale des Télécommunications (UIT), s’appuie sur une structure pentapartite dissociant la notion protéiforme de cybersécurité en composantes distinctes mais interdépendantes, qui servent de facteurs d’évaluation : (i) mesures juridiques, (ii) mesures techniques, (iii) mesures organisationnelles, (iv) développement des capacités et (v) coopération, avant d’opérer une analyse statistique génératrice d’un score global. À l’analyse, l’inclusion des mesures juridiques comme élément sine qua non de cet indice renforce notre choix du CGI dans le cadre de notre étude^[42].

En s’appuyant sur cet indice, la performance étatique fait l’objet d’une catégorisation quintuple, où le niveau 1 — désigné en anglais sous les termes « Tier 1 » ou « T1 » — incarne l’excellence cybernétique tandis que le niveau 5 (Tier 5/ T5) correspond au stade le plus bas de développement. Cette hiérarchisation se décline selon la nomenclature suivante^[43] :

• Niveau 1 (N1) – Modèle à suivre : un pays ayant un score GCI compris entre 95 et 100.
• Niveau 2 (N2) – Avancé : un pays ayant un score GCI compris entre 85 et 95.
• Niveau 3 (N3) – En établissement : un pays ayant un score GCI compris entre 55 et 85.
• Niveau 4 (N4) – En évolution : un pays ayant un score GCI compris entre 20 et 55.
• Niveau 5 (N5) – En construction : un pays ayant un score GCI compris entre 0 et 20.

Les conclusions du rapport 2024 du CGI révèlent que Royaume chérifien accède désormais au cercle élitiste de l’excellence cybernétique mondiale. En effet, le Maroc se hisse parmi les 45 pays constituant le groupe d’excellence « Role-modelling en anglais » (Tiers 1), comme l’illustre la tableau subséquent^[44] :

Australia Ghana	Morocco	Singapore
Bahrain Greece	Netherlands (Kingdom	Slovenia
Bangladesh Iceland	of the) Norway	Spain
Belgium India		Sweden
Brazil Indonesia	Oman	Tanzania
Cyprus Italy	Pakistan	Thailand
Denmark Japan	Portugal	Türkiye
Egypt Jordan	Qatar	United Arab Emirates
Estonia Kenya	Korea (Republic of)	United Kingdom
Finland Luxembourg	Rwanda	United States
France Malaysia	Saudi Arabia	Viet Nam
Germany Mauritius   Source : Rapport 2024 de l’indice CGI[45]	Serbia

Cette progression substantielle dans la hiérarchie mondiale de la cybersécurité se matérialise par une reconnaissance formelle émanant de l’Union Internationale des Télécommunications, qui a salué la performance remarquable du Royaume. Avec un score global de 97.5/100, comme le détaille la figure ci-dessous, le Maroc démontre l’efficience de sa stratégie multidimensionnelle, notamment dans le domaine juridique. Ce dernier, parmi trois autres domaines où il obtient la note maximale de 20 points, atteste de la robustesse et de l’exhaustivité de son arsenal normatif en matière de cybersécurité^[46].

Source : Rapport 2024 de l’indice CGI^[47]

1. La cybersécurité comme priorité normative internationale

La réponse normative aux enjeux de la cybersécurité s’est progressivement inscrite dans plusieurs législations^[48]. Ainsi, les affaires de cybermenaces, telles que la récente cyberattaque visant le site officiel de la Caisse nationale de la sécurité sociale (CNSS) le 8 avril 2025^[49], ou encore la faille de sécurité détectée sur le site Internet de la Commission nationale de contrôle de la protection des données personnelles (CNDP) le 11 mars 2025, illustrent une fois de plus l’urgence d’une sécurité juridique en complément de la sécurité technique^[50].

Considérée comme le premier jalon d’une structure juridique en devenir, la loi marocaine n° 07-03 venant compléter le code pénal en matière d’infractions relatives aux systèmes de traitement automatisé des données^[51], permet d’incriminer spécifiquement les intrusions frauduleuses dans les systèmes informatiques, les écueils à leur fonctionnement ainsi que les altérations des données qu’ils contiennent^[52]. Cette dynamique législative s’est poursuivie jusqu’à l’adoption, en 2020, de la loi n° 05-20 relative à la cybersécurité ; un texte destinée à instaurer un climat de confiance numérique^[53].

Elle se distingue par une double innovation : textuelle, avec des dispositions claires, et institutionnelle, par la création de l’Autorité Nationale de la Cybersécurité (ANC) et de la Commission Stratégique de Cybersécurité (CSC), traduisant ainsi une volonté de coordination accrue face aux menaces cybernétiques. Cette loi n’a pas négligé de renforcer la sécurité sous son aspect souverain en prévoyant que : « Les responsables des infrastructures d’importance vitale doivent recourir à des services, produits ou solutions qui permettent le renforcement des fonctions de sécurité, définis par l’autorité nationale. En cas d’externalisation des services de cybersécurité, ces responsables doivent faire appel à des prestataires qualifiés par l’autorité nationale (…) »^[54].

Ce rempart contre l’insécurité a été renforcé par la récente réforme incarnée par le décret n° 2.24.921 du 22 octobre 2024, relatif au recours aux prestataires de services Cloud par les entités et infrastructures d’importance vitale disposant de systèmes d’information ou de données sensibles^[55]. L’apport fondamental de ce texte, d’apparence simple mais aux implications majeures, repose sur un principe clair de souveraineté numérique : l’infrastructure Cloud hébergeant des systèmes d’information et des données classifiées comme sensibles doit impérativement être sous contrôle marocain. Cette exigence est explicitement formulée dans le premier alinéa de l’article 4, qui prévoit que « La qualification du prestataire de services Cloud de niveau 1 est soumise aux exigences suivantes : être constitué sous forme d’une société anonyme ou d’une société à responsabilité limitée de droit marocain (…) »^[56].

En Europe, le Règlement Général sur la Protection des Données (RGPD) se positionne comme la référence normative la plus rigoureuse, instaurant depuis sa mise en application en 2018 un cadre juridique contraignant qui dépasse les préoccupations de confidentialité pour englober les impératifs de cybersécurité inhérents au traitement des données à caractère personnel. Ainsi, le dispositif impose aux entités concernées une obligation de célérité en matière de notification des incidents sécuritaires, fixant un délai impératif de soixante-douze heures pour alerter simultanément les autorités de contrôle.^[57]Ajoutant à cela, les exigences techniques et organisationnelles constituent le socle opérationnel du règlement, contraignant les responsables de traitement à l’implémentation de mesures préventives et correctives proportionnées aux risques identifiés, selon une approche de sécurité par conception, dite « security by design » en anglais, désormais incontournable.

Par ailleurs, l’arsenal répressif associé au non-respect des obligations du RGPD se caractérise par sa sévérité pécuniaire sans précédent, pouvant atteindre jusqu’à vingt millions d’euros ou quatre pour cent du chiffre d’affaires annuel mondial^[58]. La sanction infligée à Google par la CNIL, confirmée par le Conseil d’État en juin 2020, illustre cette rigueur du régime pécuniaire prévu par l’article 83 du RGPD^[59]. En effet, la société a été sanctionnée par une amende de 50 millions d’euros pour ne pas avoir fourni aux utilisateurs du système d’exploitation Android une information suffisamment claire et transparente, les privant ainsi de donner un consentement libre et éclairé concernant le traitement de leurs données à caractère personnel à des fins de personnalisation des annonces publicitaires^[60].

Par ses contributions importantes, le RGPD a su exercer un impact mondial en influençant l’élaboration de réglementations similaires dans d’autres pays et en sensibilisant à l’importance des enjeux liés à la cybersécurité ainsi qu’à la confidentialité des données à l’échelle internationale. Cela se reflète notamment dans l’exemple typique de la Suisse, qui a pris le RGPD comme modèle pour concevoir sa nouvelle Loi fédérale sur la Protection des Données (LPD) en 2023^[61].

Au cœur du continent nord-américain, le cadre juridique aux États-Unis se singularise par une approche fragmentée mais évolutive, articulée autour de textes fondamentaux comme le Computer Fraud and Abuse Act de 1986 qui criminalise l’accès non autorisé aux systèmes informatiques avec des sanctions graduées en fonction de la gravité des infractions, établissant ainsi le socle répressif contre la cybercriminalité. Cette loi séculaire s’est enrichie en 2015 avec l’adoption de la Cybersecurity Act qui favorise le partage d’informations sur les menaces cybernétiques entre le secteur privé et le gouvernement fédéral, tout en mettant en place des mesures dédiées à la protection des infrastructures critiques comme les réseaux énergétiques et les systèmes de transport. La même année, la Cybersecurity Information Sharing Act (CISA) est venue compléter ce dispositif en renforçant la collaboration public-privé grâce à des protections juridiques destinées aux entreprises participant à l’échange d’informations sur les cybermenaces^[62].

Au niveau des Etats américains, des soubassements normatifs tels que California Consumer Privacy Act (CCPA) viennent enrichir le dispositif fédéral en imposant aux entreprises l’obligation de mettre en place des mesures de sécurité raisonnables pour prémunir les données à caractère personnel des consommateurs, créant ainsi un niveau supplémentaire d’exigences opérationnelles. Une telle démarche, fondée sur la responsabilisation accrue des acteurs privés, illustre le pragmatisme caractéristique de la stratégie américaine de cybersécurité, qui se distingue par son adaptation progressive aux menaces émergentes^[63]. C’est notamment ce pragmatisme qui transparaît dans la récente promulgation, le 24 avril 2024, du Protecting Americans from Foreign Adversary Controlled Applications Act (PAFACA). Perçue comme une étape décisive, cette législation interdit expressément la distribution, la maintenance et la mise à jour d’applications contrôlées par des adversaires étrangers, tout en restreignant fortement les services d’hébergement Internet qui leur sont associés.

L’Asie n’est pas en reste de cette priorité normative en cybersécurité, comme en témoignent les cadres législatifs de la Chine et du Japon. La loi chinoise sur la cybersécurité intitulée « The Cybersecurity Law of the People’s Republic of China », entrée en vigueur en juin 2017, vise à garantir la souveraineté du cyberespace^[64], la sécurité nationale et la protection des droits des citoyens tout en favorisant le développement économique et social^[65]. Au Japon, l’Act on Prohibition of Unauthorized Computer Access was enacted in February, adoptée en 2000 et révisée en 2012, lutte contre la cybercriminalité en encadrant strictement les accès illégitimes. En complément, Basic Act on Cybersecurity vise à « promouvoir de manière globale et efficace la politique de cybersécurité en : stipulant les principes fondamentaux de la politique nationale de cybersécurité ; clarifiant les responsabilités du gouvernement national, des gouvernements locaux et des autres parties publiques concernées ; stipulant les questions essentielles relatives aux politiques de cybersécurité telles que la formulation de la stratégie de cybersécurité (…) »^[66].

En dressant un bilan des réglementations que nous avons sélectionnées, tout en précisant qu’il en existe encore de nombreuses autres lois, accompagnées d’un cadre institutionnel et de conventions internationales visant à renforcer la sécurité juridique, il ressort que chaque pays élabore des dispositions spécifiques, adaptées à ses particularités locales, culturelles et contextuelles.

Conclusion

La digitalisation exerce une pression sans précédent sur la sécurité juridique en bouleversant profondément les fondements traditionnels du droit, notamment en matière de qualification des faits, de détermination des responsabilités et de délimitation des territoires juridiques. En effet, les cadres classiques, fondés sur des réalités tangibles et localisées, se trouvent largement inadaptés et peinent à saisir les réalités nouvelles, souvent immatérielles, fragmentées et transnationales.

Cette nouvelle configuration complexifie la tâche des juristes, qui doivent désormais appréhender des situations hybrides et dynamiques, rendant les repères classiques non seulement fragiles mais parfois obsolètes. Par conséquent, la sécurité juridique, conçue historiquement comme un socle stable assurant prévisibilité et confiance, est mise à rude épreuve face à cette fragmentation et à cette transnationalité croissante induites par la révolution digitale.

Pour rétablir un climat de confiance face à ces bouleversements, il devient manifeste que le droit ne peut plus se contenter d’une posture défensive, cherchant à rattraper, à la marge, les mutations technologiques. L’analyse des défis et des risques induits par la digitalisation met en lumière l’usure des catégories classiques et l’insuffisance de certains dispositifs actuels. Or, la sécurité juridique ne saurait être réduite à un principe passif de stabilité mais elle doit se réinventer pour intégrer les exigences d’un environnement numérique mouvant, interconnecté et algorithmisé. C’est donc dans cette optique qu’il convient désormais de réfléchir à une sécurité juridique renouvelée, non plus subie mais construite, capable d’anticiper les ruptures et de proposer des instruments normatifs adaptés.

Dans cette perspective, le Maroc à travers son positionnement dans l’indice mondial de cybersécurité et ses réformes législatives, montre une volonté d’alignement sur les standards internationaux. Néanmoins, le rythme soutenu de l’évolution technologique continue de devancer les réponses normatives. Cette situation met en exergue une dynamique asymétrique entre innovation technique et régulation juridique.

Références bibliographiques

• Aditya JOSHI, « Study of Cybersecurity Laws and Regulation», Indian Journal of Law », vol. 2, n° 3, 2024.
• Aimin QI, Guosong SHAO, Wentong ZHENG, « Assessing China’s Cybersecurity Law», Computer Law & Security Review, vol. 34, 2018.
• Amal ABDALLAH, « Synthèse des travaux », in Catherine Barreau (dir.), droit et numérique, Pusek, Kaslik, 2019.
• Amine HAOUNANI, Soumaya AKKOUR, « Les données personnelles à l’ère du Big-Data : quel cadre juridique au Maroc ? », Revue Internationale du Chercheur, Volume 4, n°1, 2023.
• Antoine Meissonnier, « Risque juridique et dématérialisation », in La Gazette des archives, n°242, 2016-2.
• Bertrand CASSAR, La transformation numérique du monde du droit, Thèse de doctorat de Droit privé, Université de Strasbourg, 2020.
• Corlane BARCLAY, « An Analysis of the Global Cybersecurity Index (GCI) 2024: Progress, Challenges and Opportunities for Cybersecurity in the Caribbean », rapport, 2024.
• El Hadj SALL, François COLLIN, Les risques émergents : Nouveaux défis, perspectives et approches de solutions, L’Harmattan, 2023.
• Éric CAPRIOLI, Isabelle CANTERO, et al., L’identité numérique dans le droit et la pratique, Paris, Revue Banque, coll. « Les essentiels de la banque et de la finance », 2021.
• Imane TAIBI, Karim SEFFAR, « Le droit à l’épreuve de l’économie numérique : une réglementation en mutation », Journal of Economy & International Finance, Vol.3 Iss.1, 2024.
• Imane TAIBI, Karim SEFFAR, « Révolution digitale responsable et développement durable au Maroc», International Journal of Research in Economics and Finance, vol. 1, n° 4, 2024.
• International Telecommunication Union, « Global Cybersecurity Index 2024 », 5^ème édition, 2024.
• Karim SEFFAR, Soufiane MOUHSSINE, « Sécurité et intelligence artificielle : Du défi à l’alliance », Revue Internationale du Droit des Affaires, vol. 55, 2024.
• Karima BAKRI, « La protection des utilisateurs de l’espace cybernétique : Le Maroc et la France comme exemples », Proceedings of the 2nd International Conference on Humanities and Social Sciences: Fostering Global Resilience through Cross-cultural Collaboration, 27-28 Nov, Portugal, 2023.
• Le centre pour la gouvernance du secteur de la sécurité, « La digitalisation et la gouvernance et la réforme du secteur de la sécurité », Genève, 2023.
• Michaëal BARDIN, « L’identité numérique et le droit : esquisse d’une conciliation difficile », Hermès 80, 2018.
• Oluomachi EJIOFOR, Ahmed AKINSOLA, Ahmed WAHAB, Samson EDOZIE, « Assessing the Effectiveness of Current Cybersecurity Regulations and Policies in the US », International Journal of Scientific and Research Publications, vol. 14, n° 2, 2024.
• Rainer BRUGGEMANN, Peter KOPPATZ, Margit SCHOLL, Regina SCHUKTOMOW, « Global Cybersecurity Index (GCI) and the Role of its 5 Pillars », Social Indicators Research, vol. 159, 2022.

1. Jean BOULOUIS, « Quelques observations à propos de la sécurité juridique », Mélanges Pescatore, Baden baden nomos, 1987, p. 53. ↑

2. Bertrand CASSAR, La transformation numérique du monde du droit, Thèse de doctorat de Droit privé, Université de Strasbourg, 2020, p. 305. ↑

3. Bruno DEFLAINS, « Le monde du droit face à la transformation numérique », Pouvoirs, no. 170, 2019, p. 50.

   ↑

4. Le Centre pour la Gouvernance du Secteur de la Sécurité, « La digitalisation et la gouvernance et la réforme du secteur de la sécurité », Genève, 2023, p. 2. ↑

5. Claude KIRCHNER, « Préface », in Stéphanie LACOUR (dir.), La sécurité de l’individu numérisé : réflexions prospectives et internationales, Paris, L’Harmattan, 2007, p. 14. ↑

6. Antoine CRISTAU, « L’exigence de sécurité juridique », Recueil Dalloz, n°37/7090, 2002, p. 2814. ↑

7. Sur la polysémie de la sécurité juridique, v. notamment Najoua ROUINI, Youssef EL FILALI, « Le principe de la sécurité juridique : de la sémantique à la pragmatique », RDCEC, Vol.3, n°1, 2022, pp. 88-106 ; VAN Meerbeeck, « Le principe de sécurité juridique dans la jurisprudence communautaire : un principe en quête de sens », Revue du notariat, 110 (2), 2008, pp. 497-516 ; Roseline MARILLER, « La sécurité juridique : un concept européen multiforme », Revue du notariat, 110(2), 2008, pp. 463-480. ↑

8. Thomas PIAZZON, La sécurité juridique, Thèse, Paris, Université Paris II, 2006.

   ↑

9. Alexis ABOSSON KOLL, Leandre NNEME, « Comprendre la différence entre la Transformation Digitale et la Digitalisation : Revue de la littérature pour un éclairage scientifique », Revue Internationale du Chercheur, vol. 4, no. 4, 2023, p. 670.

   ↑

10. Vincent DUCREY, Emmanuel VIVIER, « Le guide de la transformation digital », Paris, Eyrolles, 2017, p. 273.

    ↑

11. Amal ABDALLAH, « Synthèse des travaux », in Catherine Barreau (dir.), droit et numérique, Pusek, Kaslik, 2019, p. 166. ↑

12. Le numérique impose une réalité qui dédouble les objets de droit en créant une version virtuelle d’objets tangibles. À ce propos, Cf. notamment Iony RANDRIANIRINA, « Digitalisation, du toucher à l’immatériel : actualités juridiques », in Alexandre Quiquerez (dir.), Le droit des affaires à l’épreuve de la digitalisation, Université de lorraine, 2019. ↑

13. Amal ABDALLAH, Ibid.

    ↑

14. Bertrand CASSAR, op. cit., p. 138. ↑

15. Aumans Avocats, « Droit applicable à l’IoT : La “discontinuité des normes” est un facteur de complications mais également d’insécurité juridique pour les acteurs de l’IoT », 2024, disponible sur : https://aumans-avocats.com/droit-applicable-iot/, consulté le 28/05/2025.

    ↑

16. L’occultation désigne une opération consistant à masquer ou rendre inaccessibles certaines données à caractère personnel, sans les supprimer, afin de limiter leur accès ou leur visibilité, notamment pour protéger la vie privée ou répondre à des obligations légales de diffusion restreinte.

    ↑

17. La pseudonymisation est une technique pour sécuriser le traitement des données à caractère personnel consistant à remplacer les éléments identifiants par des pseudonymes, de manière à ce que la personne concernée ne soit plus identifiable sans recours à des informations additionnelles conservées séparément.

    ↑

18. Elhassan BEZZAZI, « Identité numérique et anonymat : concept et mise en œuvre », in Stéphanie LACOUR (dir.), La sécurité de l’individu numérisé : réflexions prospectives et internationales, Paris, L’Harmattan, 2007, p. 71. ↑

19. Amine HAOUNANI, Soumaya AKKOUR, « Les données personnelles à l’ère du Big-Data : quel cadre juridique au Maroc ? », Revue Internationale du Chercheur, Volume 4, n°1, 2023, p. 435. ↑

20. Cf. sur cette insuffisance d’encadrement juridique, Céline CASTETS-RENARD, « Personnalité juridique et identification numérique », in Xavier Bioy (dir.), La personnalité juridique, Presses de l’Université Toulouse Capitole, 2013. ↑

21. Michaëal BARDIN, « L’identité numérique et le droit : esquisse d’une conciliation difficile », Hermès 80, 2018, p. 286.

    ↑

22. Imane TAIBI, Karim SEFFAR, « Le droit à l’épreuve de l’économie numérique : une réglementation en mutation », Journal of Economy & International Finance, Vol.3 Iss.1 p. 5. ↑

23. Vincent DUCREY, Emmanuel VIVIER, op. cit., p. 154. ↑

24. Ibidem.

    ↑

25. OCDE, « Recommandation du Conseil sur la gestion du risque de sécurité numérique pour la prospérité économique et sociale », dans Digital Security Risk Management for Economic and Social Prosperity : OECD Recommendation and Companion Document, Éditions OCDE, Paris, 2015, p. 12. ↑

26. Walter SCHÖN, « Sécurité des systèmes critiques et cybercriminalité : vers une sécurité globale ? », in Yves ROUCAUTE (dir.), La criminalité numérique, INHES, Cahiers de la sécurité, 2008, p. 147. ↑

27. Institut National des Hautes Études de la Sécurité et de la Justice, « Les risques et l’environnement numérique », in Lettre d’information sur les Risques et les Crises, n°59, 2019, p. 2.

    ↑

28. Claude KIRCHNER, « Préface », in Stéphanie LACOUR (dir.), La sécurité de l’individu numérisé : réflexions prospectives et internationales, Paris, L’Harmattan, 2007, p. 14. ↑

29. Le centre pour la gouvernance du secteur de la sécurité, op. cit,., p. 2. « Les DSE sont de nouvelles menaces qui ne figuraient pas auparavant dans la conception traditionnelle de la sécurité. Il s’agit notamment de menaces liées à la sécurité transnationale, ainsi que de menaces à la sécurité humaine et sociétale ». ↑

30. Antoine Meissonnier, « Risque juridique et dématérialisation », in La Gazette des archives, n°242, 2016-2. p. 71. ↑

31. Ibid., « Les archivistes savent bien combien ces risques sont sous-estimés par les décideurs et combien la dématérialisation jouit d’un présupposé positif sur ses bienfaits ». ↑

32. Ibid.

    ↑

33. Walter SCHÖN, op. cit, p. 147.

    ↑

34. OCDE, op. cit, p. 4.

    ↑

35. Ibid.

    ↑

36. Dans une littérature considérable, on peut plus particulièrement se reporter à : Éric CAPRIOLI, Isabelle CANTERO, et al., L’identité numérique dans le droit et la pratique, Paris, Revue Banque, coll. « Les essentiels de la banque et de la finance », 2021; Bettina BORDURE, « L’émergence d’un droit sur l’identité numérique », Sciences de l’Homme et Société, Aix Marseille Université, 2020 ; Clare SULLIVAN, « Digital identity : From emergent legal concept to new reality », Computer Law & Security Review, 34(4), 2018, pp. 723-731. ↑

37. Michaëa BARDIN, op. cit., p. 286. ↑

38. El Hadj SALL, François COLLIN, Les risques émergents : Nouveaux défis, perspectives et approches de solutions, L’Harmattan, 2023, p. 47.

    ↑

39. Direction Générale de la Sécurité des Systèmes d’Information (DGSSI) du Maroc et Conseil de Cybersécurité des Émirats Arabes Unis, « La 5ᵉ édition du séminaire “Cyber Security Conclave Morocco“ », Rabat, le 7 février 2024.

    ↑

40. Christelle HOUETO, « Forum Africain de la Cybersécurité : Le Maroc appelle à une coopération renforcée contre les cybermenaces », 2025, disponible sur : https://cybersecuritymag.africa/index.php/, consulté le 20/05/2025.

    ↑

41. International Telecommunication Union, « Global Cybersecurity Index 2024 », 5^ème édition, 2024, p. 1.

    ↑

42. Rainer BRUGGEMANN, Peter KOPPATZ, Margit SCHOLL, Regina SCHUKTOMOW, « Global Cybersecurity Index (GCI) and the Role of its 5 Pillars », Social Indicators Research, vol. 159, 2022, p. 126. ↑

43. Corlane BARCLAY, « An Analysis of the Global Cybersecurity Index (GCI) 2024: Progress, Challenges and Opportunities for Cybersecurity in the Caribbean », rapport, 2024, pp. 3 et 4.

    ↑

44. International Telecommunication Union, op.cit., p. 24.

    ↑

45. Ibidem.

    ↑

46. Ibid., p. 75.

    ↑

47. Ibidem.

    ↑

48. Aditya JOSHI, « Study of Cybersecurity Laws and Regulation», Indian Journal of Law », vol. 2, n° 3, 2024, p. 7.

    ↑

49. Yasser ELKOURI, « Cyberattaque contre la CNSS marocaine : une atteinte grave aux systèmes de traitement automatisé de données (STAD) », Village de la Justice, 2025, disponible sur : https://www.village-justice.com/articles/cyberattaque-contre-cnss-marocaine-une-atteinte-grave-aux-systemes-traitement,53054.html, consulté le 18/05/2025.

    ↑

50. Karim SEFFAR, Soufiane MOUHSSINE, « Sécurité et intelligence artificielle : Du défi à l’alliance », Revue Internationale du Droit des Affaires, vol. 55, 2024, p. 1073.

    ↑

51. Dahir n° 1-03-197 du 16 ramadan 1424 (11 novembre 2003) portant promulgation de la loi n° 07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données.

    ↑

52. Imane TAIBI, Karim SEFFAR, « Révolution digitale responsable et développement durable au Maroc», International Journal of Research in Economics and Finance, vol. 1, n° 4, 2024, p. 105.

    ↑

53. Karima BAKRI, « La protection des utilisateurs de l’espace cybernétique : Le Maroc et la France comme exemples », Proceedings of the 2nd International Conference on Humanities and Social Sciences: Fostering Global Resilience through Cross-cultural Collaboration, 27-28 Nov. 2023, Portugal, p. 260. ↑

54. Alinéa 1 et 2 de l’article 25 du Dahir n° 1-20-69 du 4 Hija 1441 (25 juillet 2020) portant promulgation de la loi n° 05-20 relative à la cybersécurité.

    ↑

55. Décret n° 2-24-921 du 18 rabii II 1446 (22 octobre 2024) relatif au recours aux prestataires de services Cloud par les entités et les infrastructures d’importance vitale disposant de systèmes d’information ou de données sensibles, publié au Bulletin officiel n° 7380, le 20 février 2025.

    ↑

56. Le décret distingue deux niveaux de qualification : le niveau 1 s’impose aux entités vitales utilisant des services cloud pour leurs systèmes d’informations (SI) sensibles, exigeant que les prestataires soient des sociétés marocaines opérant sur le territoire national, assurant ainsi la souveraineté et la juridiction marocaine. Le niveau 2 ajoute des exigences juridiques et techniques renforcées pour la protection des données particulièrement sensibles, garantissant leur traitement uniquement sous le contrôle des lois marocaines, excluant toute influence extraterritoriale.

    ↑

57. Selon l’alinéa 1 de l’article 33 du RGPD : « 1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard ».

    ↑

58. Alinéa 6 de l’article 83 relatif au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).

    ↑

59. Conseil d’État, 10ème – 9ème chambres réunies, 19/06/2020, n °430810, Publié au recueil Lebon.

    ↑

60. Isabelle GAVANON et Valentin LE MAREC, « Affaire Google c. CNIL : le Conseil d’État confirme la sanction record de 50 millions d’euros », 2020, disponible sur : https://www.dalloz-actualite.fr/flash/affaire-google-c-cnil-conseil-d-etat-confirme-sanction-record-de-50-millions-d-euros, consulté le 12/05/2020.

    ↑

61. Eva THÉLISSON, Le Règlement général sur la protection des données et son impact en Suisse, thèse pour l’obtention du grade de docteur en droit, Université de Fribourg, Suisse, 2018, p.8.

    ↑

62. Oluomachi EJIOFOR, Ahmed AKINSOLA, Ahmed WAHAB, Samson EDOZIE, « Assessing the Effectiveness of Current Cybersecurity Regulations and Policies in the US », International Journal of Scientific and Research Publications, vol. 14, n° 2, 2024, p. 80.

    ↑

63. Ibidem.

    ↑

64. Aimin QI, Guosong SHAO, Wentong ZHENG, « Assessing China’s Cybersecurity Law», Computer Law & Security Review, vol. 34, 2018, p. 1343.

    ↑

65. Article 1 de la Cybersecurity Law of the People’s Republic of China, promulguée le 1er juin 2017.

    ↑

66. Traduction de l’article 1 de Basic Act on Cybersecurity du 12 novembre 2014, n°104.

    ↑