contactez nous

Cloud souverain : nouvelles règles pour protéger les données marocaines

Cloud souverain

1. Introduction

Le concept de cloud souverain s’impose aujourd’hui comme l’un des piliers majeurs de la stratégie numérique du Maroc. À mesure que les institutions publiques, les entreprises et les administrations vident de plus en plus d’informations sensibles dans le cloud, la question de la localisation, du contrôle, de la sécurité et de la confiance devient centrale. Le Maroc, conscient des défis liés à la fuite de données, aux cyberattaques et à la dépendance extérieure, renforce ses règles pour que les données marocaines soient mieux protégées, juridiquement sous contrôle national, techniquement sécurisées et gérées par des prestataires fiables.

Ce renforcement s’accompagne de référentiels, de obligations de conformité, de normes de sécurité et d’exigences précises pour les prestataires cloud locaux comme pour ceux opérant à l’étranger mais souhaitant servir le marché marocain. Dans un contexte de stratégie numérique nationale ambitieuse, le cloud souverain s’inscrit comme une réponse à la fois stratégique, sécuritaire, économique et de souveraineté.

2. Contexte national et international

À l’échelle internationale, de nombreux pays adoptent des législations pour exiger que certaines données sensibles (santé, justice, sécurité, finances) soient hébergées sur leur territoire ou sous juridiction locale. La protection des données et la cybersécurité ne sont plus des luxes, mais des conditions de confiance, de compétitivité et de souveraineté.

Au Maroc, plusieurs textes législatifs jalonnent ce chemin :

  • Loi relative à la protection des données personnelles,

  • Loi sur la cybersécurité,

  • Décrets d’application classifiant les données selon leur niveau de sensibilité,

  • Initiatives pour qualifier les prestataires cloud destinés à manipuler des données sensibles ou appartenant à des instituts vitaux.

Par ailleurs, la stratégie nationale de transformation numérique, notamment sous l’initiative « Maroc Digital 2030 », affiche l’objectif de renforcer les capacités locales, de construire des centres de données souverains, d’inciter aux offres cloud locales, et de garantir que les infrastructures critiques respectent des normes de sécurité élevées.

3. Les nouveaux référentiels et règles adoptés au Maroc

3.1 Référentiel national pour la qualification des prestataires cloud

Plusieurs textes législatifs encadrent déjà ces questions :

  • La loi relative à la protection des données personnelles définit les droits des personnes et obligations des responsables de traitement.

  • La loi sur la cybersécurité prévoit la classification des systèmes d’information selon leur caractère vital, les risques cyber, les obligations de sécurité pour les infrastructures critiques.

  • Un décret classe les données selon leur sensibilité, détermine les entités vitales, les normes auxquelles elles doivent se conformer, et impose des conditions d’hébergement local pour les données sensibles.

Ces cadres sont complétés par des directives techniques de la DGSSI (Direction Générale de la Sécurité des Systèmes d’Information), qui émet des normes de sécurité, des obligations de protection, des référentiels applicables aux prestataires, en tenant compte des niveaux de risque, de la criticité des données et des vulnérabilités du numérique.

3.2 Cadres légaux existants : lois, décrets et classification des données

Le Maroc a adopté un référentiel national strict pour la qualification des prestataires de services cloud. Ce texte, rattaché à un arrêté gouvernemental, définit des conditions d’éligibilité, de sécurité, et de gestion des risques pour tout fournisseur de cloud souhaitant opérer auprès d’entités publiques ou des infrastructures critiques. Parmi les exigences :

  • Chiffrement obligatoire des données, tant en transit qu’au repos.

  • Gestion sécurisée des clés cryptographiques.

  • Authentification multi-facteur, séparation de rôles, journalisation des accès.

  • Audits réguliers de sécurité, de conformité et de droits d’accès.

  • Localisation des données sensibles sur le territoire national, pour certains niveaux de service (dits “Niveau 2”).

  • Obligation pour les prestataires de notifier toute sous-traitance ou externalisation.

Ce référentiel s’inscrit en lien avec la loi de cybersécurité, la loi de protection des données et les décrets afférents.

3.3 Exigences techniques, organisationnelles et sécuritaires

Les nouvelles règles imposent des obligations tant techniques qu’organisationnelles :

  • Infrastructure de datacenter local conforme (résilience, redondance, sécurité physique, alimentation fiable).

  • Solutions cryptographiques robustes, gestion des clés de chiffrement.

  • Plan de continuité d’activité et de reprise après sinistre.

  • Séparation des environnements physiques et logiques (zones sensibles vs zones publiques).

  • Politiques d’accès rigoureuses, contrôle des identités, authentification forte.

  • Audits périodiques, surveillance de sécurité, détection et réaction aux incidents.

  • Documentation, transparence sur la sous-traitance, la localisation, les usages.

4. Enjeux et motivations de ces règles

4.1 Souveraineté numérique et contrôle juridique

Le premier enjeu est évident : que le Maroc maîtrise juridiquement les données hébergées sur son territoire, puisse imposer des normes de sécurité, puisse garantir aux citoyens que leurs données ne sont pas exposées à des juridictions étrangères sans contrôle. C’est une question de souveraineté légale, politique et stratégique.

4.2 Sécurité des données sensibles et des infrastructures critiques

Données liées à la santé, à la justice, aux finances, aux systèmes d’information publics, aux infrastructures vitales doivent bénéficier d’un niveau élevé de protection. Un cloud souverain localisé et régulé offre une meilleure réponse aux menaces de cyberattaques, aux risques d’interception, d’espionnage ou d’ingérence étrangère.

4.3 Confiance des utilisateurs et des entreprises

Pour les citoyens, la confiance dans la protection de la vie privée dépend de la certitude que leurs données ne sortent pas du cadre national ou ne sont exploitées sans contrôle. Pour les entreprises, l’assurance d’une conformité avec les lois locales est un facteur décisif dans le choix des prestataires cloud.

4.4 Opportunités pour le secteur numérique local

Ces règles offrent aussi une opportunité de développement pour les acteurs nationaux : fournisseurs de cloud locaux, opérateurs de datacenters, prestataires de sécurité, startups spécialisées dans la cryptographie, la gestion des données, etc. Le besoin accru d’infrastructures locales représente un marché à forte valeur ajoutée.

5. Défis pratiques et obstacles à la mise en œuvre

5.1 Coût et investissements dans les infrastructures locales

Construire un datacenter souverain, conforme aux normes de sécurité, disposer de la redondance, de la sécurité physique, de l’alimentation fiable, de la connectivité haut débit, etc., cela demande des investissements lourds. Le coût initial est élevé, et l’entretien, la certification, la mise à jour technologique demeurent une charge.

5.2 Normes techniques, certification et compétence

Pour garantir que les prestataires répondent aux exigences, il faut des certifications crédibles, des audits indépendants, des compétences spécialisées en ingénierie cloud, en sécurité, en cryptographie. Le Maroc doit renforcer ses ressources humaines et ses centres d’expertise pour accompagner.

5.3 Classification des données et niveaux de sensibilité

Déterminer ce qui est “donnée sensible” ou “critique”, cartographier les systèmes d’information, classifier les usages, définir les entités concernées, voilà une tâche complexe. Beaucoup d’organisations publiques ou privées ne disposent pas encore de cartographie claire.

5.4 Traçabilité, réversibilité, transparence

Les prestataires doivent garantir la réversibilité (capacité pour un client de migrer ses données ailleurs), la transparence (audit, accès aux protocoles, connaissance des sous-traitants), la traçabilité des accès et des traitements. Ce sont autant de défis techniques, contractuels et organisationnels.

5.5 Équilibre entre rigueur réglementaire et innovation

Une réglementation trop lourde pourrait freiner l’innovation, décourager les startups ou les entreprises de petite taille. Il faut un cadre souple, progressif, différencié selon les niveaux de sensibilité, afin de ne pas pénaliser les acteurs moins puissants.

6. Cas, initiatives et projets concrets

6.1 Séminaires, actions gouvernementales et datacenters annoncés

Des séminaires ont été organisés pour discuter des migrations vers le cloud souverain, de la classification des données, des enjeux liés à la cybersécurité, à la protection des données personnelles et aux infrastructures locales. Ces réunions ont permis de sensibiliser les acteurs publics et privés, d’identifier les contraintes techniques et de proposer des solutions adaptées.

De plus, le gouvernement prévoit la construction d’un nouveau centre de données de grande capacité, fonctionnant à l’aide d’énergies renouvelables, pour répondre à la demande croissante des administrations et entreprises locales. Ce datacenter sera conçu pour héberger des services cloud hybride ou souverain, en conformité avec les normes nationales applicables.

6.2 Référentiel national “Niveau 2” et obligations associées

Le référentiel pour les prestataires cloud prévoit des niveaux. Le niveau “Niveau 2” implique que les données sensibles soient hébergées sur le territoire national, que les sous‐traitants soient clairement identifiés, que les obligations techniques de sécurité soient renforcées et que le fournisseur soit qualifié selon le référentiel national.

6.3 Acteurs privés et offres souveraines

Des prestataires privés marocains et des opérateurs télécom proposent des offres de cloud souverain, avec hébergement local dans des datacenters installés au Maroc, respect des normes de protection des données, cryptage, services managés, monitoring, etc. Ces offres ciblent en particulier les secteurs qui manipulent des données critiques comme la santé, la finance, les administrations publiques ou les entreprises de taille moyenne.

6.4 Projets hybrides et partenariats

Le modèle hybride, combinant services cloud souverain pour les données sensibles et cloud public ou externe pour les usages moins critiques, est envisagé pour accélérer la transition numérique. Les partenariats public-privé avec des prestataires étrangers mais utilisant des infrastructures locales ou certifiées sont aussi une option afin de bénéficier des technologies avancées tout en respectant la souveraineté.

7. Perspectives et scénarios possibles

7.1 Scénario optimiste

Dans ce scénario, le déploiement des règles se fait rapidement. Les prestataires locaux répondent aux référentiels de qualification. Les datacenters souverains se multiplient. Les administrations migrent leurs données sensibles vers des solutions locales. Les entreprises adoptent le cloud souverain pour les usages critiques. Le Maroc devient un hub numérique régional, reconnu pour sa fiabilité, sécurité et respect de la vie privée.

7.2 Scénario réaliste

Le processus est progressif. Les entités gouvernementales et entreprises majeures adoptent d’abord les règles. Les PME suivent, mais avec un délai. Certains usages sensibles restent externalisés pendant la transition. Le cloud hybride devient la norme. Les compétences se renforcent au fil du temps, les coûts baissent.

7.3 Scénario prudent

La mise en œuvre traîne. Certains datacenters tardent à atteindre les certifications nécessaires. Beaucoup d’acteurs publics continuent d’utiliser des services cloud étrangers. Les règles restent principalement déclaratives, peu appliquées dans la pratique. Le risque de non-conformité et de fuite de données persiste.

7.4 Indicateurs de succès

  • Pourcentage de données sensibles hébergées sur le territoire marocain

  • Nombre de prestataires cloud qualifiés selon les nouveaux référentiels

  • Nombre de datacenters respectant les normes de sécurité et certifications nationales

  • Réduction des incidents de sécurité, des fuites de données ou attaques sur des infrastructures critiques

  • Investissement dans les compétences, formation, laboratoires et certifications

8. Conclusion

Le renforcement des règles autour du cloud souverain au Maroc n’est pas une option : c’est une nécessité. Dans un monde où les menaces cyber se multiplient, où les normes internationales se durcissent, où la confiance des citoyens et des entreprises dépend de la maîtrise des données, le Maroc doit assurer sa souveraineté numérique.

Pour ce faire, voici quelques recommandations concrètes :

  1. Mettre en place une labellisation officielle des datacenters souverains, certifiés selon les normes nationales (sécurité, disponibilité, résilience, conformité juridique).

  2. Renforcer les moyens de la DGSSI, de la CNDP et autres autorités compétentes pour contrôler et auditer les prestataires cloud.

  3. Favoriser les investissements publics et privés dans les infrastructures locales, et encourager l’utilisation des énergies renouvelables pour la durabilité.

  4. Offrir des incitations fiscales ou réglementaires pour les PME qui adoptent des offres cloud souverain, afin de ne pas laisser de côté les petits acteurs.

  5. Assurer la formation continue des ingénieurs, experts en sécurité, cryptographes, spécialistes du cloud, normeurs, etc.

  6. Veiller à ce que les règles imposées soient différenciées selon les niveaux de sensibilité des données, permettant un équilibre entre sécurité et innovation.

  7. Garantir la transparence dans les chaînes de traitement, la sous-traitance, les audits, la gestion des incidents et la réversibilité.

En fin de compte, le cloud souverain, bien que complexe à mettre en place, offre au Maroc une voie stratégique : celle de la maîtrise des données, de la protection des libertés, de la résilience numérique, mais aussi du développement économique fondé sur une infrastructure forte et fiable. Les nouvelles règles autour du cloud souverain marquent un tournant dans cette direction — un tournant dont la réussite dépendra de la cohérence, de l’engagement de tous les acteurs et de la rigueur de l’application.

Abonnez-vous à notre newsletter

Rejoignez notre newsletter pour ne rien manquer des dernières tendances.

Subscription Form

Eclatal est une agence digitale spécialisée dans la création de sites web, le marketing digital et le design graphique. Nous accompagnons les entreprises dans leur transformation numérique pour maximiser leur impact en ligne.

Nos Services
Liens Utiles
Nos solutions
  • E-commerce
  • Agences de voyage
  • E-learning Plateforme
  • Location de voitures
  • Vendeurs de Bijoux
  • Personal branding
Contact
  • +212 623 777 383
    +212 665 107 179
  • contact@eclatal.ma
  • N 276 BD Ibn Tachfine 3 eme etage Casablanca

Copyright © 2025 Eclatal  Agency All rights reserved.

Jki-facebook-light Whatsapp Instagram