Le Régime Juridique de la Vidéosurveillance au Maroc: Analyse exhaustive des obligations, des procédures et des perspectives d’évolution

par Me Mohamed Aghnaj

Partie I: Le Fondement Légal et Institutionnel

Cette première partie établit les piliers juridiques et réglementaires fondamentaux qui régissent l’ensemble du traitement des données à caractère personnel au Maroc. La compréhension de ce socle est un prérequis indispensable pour appréhender les règles spécifiques applicables à la vidéosurveillance.

Chapitre 1: La Loi n° 09-08 – La Pierre Angulaire de la Protection des Données Personnelles

Introduction à la loi

Promulguée par le Dahir n° 1-09-15 du 18 février 2009, la loi n° 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel constitue le texte fondateur du droit de la protection des données au Maroc. Son objectif principal est d’assurer la protection de la vie privée des individus contre toute utilisation abusive de leurs données personnelles et d’harmoniser le système juridique marocain avec les standards internationaux, notamment européens. La loi s’inspire en substance des principes énoncés dans la loi française n° 78-17, dite « Loi Informatique et Libertés ». Elle a été complétée par son décret d’application n° 2-09-165 du 21 mai 2009, qui précise notamment les missions de l’autorité de contrôle.

Définitions fondamentales et champ d’application

La pertinence de la loi n° 09-08 pour la vidéosurveillance découle directement de ses définitions larges et technologiquement neutres.

• Données à caractère personnel: La loi définit une donnée à caractère personnel comme « toute information, de quelque nature qu’elle soit et indépendamment de son support, y compris le son et l’image, concernant une personne physique identifiée ou identifiable ». Cette définition est cruciale car elle inclut explicitement les images. Par conséquent, toute image capturée par une caméra de surveillance permettant d’identifier une personne est une donnée à caractère personnel et tombe sous le coup de la loi.
• Traitement de données à caractère personnel: Le « traitement » est défini comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». L’acte de filmer, d’enregistrer et de stocker des images vidéo constitue donc sans équivoque un « traitement » au sens de la loi.
• Responsable du traitement: Il s’agit de « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Cette notion est essentielle pour attribuer la responsabilité juridique. Dans le contexte de la vidéosurveillance, le responsable du traitement peut être l’employeur, le syndic d’une copropriété, ou le propriétaire d’un commerce.

Les principes fondamentaux du traitement des données

La loi n° 09-08 articule le traitement des données autour de plusieurs principes cardinaux qui doivent être respectés en toutes circonstances.

• Licéité et loyauté: L’article 3 de la loi dispose que les données à caractère personnel doivent être « traitées loyalement et licitement ». Cela implique que la collecte et l’utilisation des images ne doivent pas se faire de manière trompeuse ou déloyale.
• Limitation des finalités: C’est l’un des principes les plus importants pour la vidéosurveillance. Les données doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ». Toute utilisation des images pour un objectif autre que celui initialement déclaré est une violation de ce principe.
• Consentement: En l’absence d’une autre base légale (comme le respect d’une obligation légale, l’exécution d’un contrat ou la sauvegarde d’intérêts vitaux), le traitement des données n’est licite que si la personne concernée a donné son consentement « libre, spécifique et informé ».

Les droits de la personne concernée

La loi confère aux individus dont les données sont traitées un ensemble de droits fondamentaux pour leur permettre de garder le contrôle sur leurs informations. Ces droits s’appliquent pleinement aux personnes filmées par des caméras de surveillance.

• Droit à l’information: Toute personne a le droit d’être informée de l’identité du responsable du traitement, des finalités de la collecte de ses données et des destinataires de ces données.
• Droit d’accès: Toute personne concernée a le droit d’obtenir du responsable du traitement la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations sur les finalités, les catégories de données et les destinataires.
• Droit de rectification: La personne concernée peut exiger que soient rectifiées, complétées, mises à jour, verrouillées ou effacées les données la concernant qui sont inexactes, incomplètes, équivoques ou périmées.
• Droit d’opposition: La personne concernée a le droit de s’opposer, pour des motifs légitimes, à ce que des données la concernant fassent l’objet d’un traitement.

Chapitre 2: La CNDP – Gardienne de la Vie Privée

Établissement et mission

La loi n° 09-08 a institué la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP). Il s’agit d’une autorité administrative indépendante chargée de veiller au respect des dispositions de la loi sur l’ensemble du territoire marocain. La CNDP joue un rôle central dans l’écosystème de la protection des données, agissant à la fois comme un organe de conseil, de contrôle et de sanction. Ses coordonnées sont publiques, permettant aux citoyens et aux organisations de la saisir.

Pouvoirs et autorité

La CNDP est dotée de pouvoirs étendus pour accomplir sa mission. Elle dispose d’un pouvoir d’investigation et d’enquête qui lui permet de recueillir toutes les informations et tous les documents nécessaires à ses contrôles. Elle peut ordonner le verrouillage, l’effacement ou la destruction de données, et même interdire temporairement ou définitivement un traitement de données. En cas de constatation d’infractions pénales, elle transmet le dossier au Procureur du Roi compétent.

L’autorité de la CNDP se manifeste par l’obligation pour de nombreux organismes, publics comme privés, de notifier leurs traitements de données et, dans certains cas, d’obtenir son autorisation préalable. Des services numériques gouvernementaux comme le portefeuille digital « Wraqi » , les services en ligne de l’Agence Nationale de la Conservation Foncière, du Cadastre et de la Cartographie (ANCFCC) , ou encore les espaces clients de caisses de retraite comme la CNRA affichent publiquement les numéros d’autorisation délivrés par la CNDP, attestant de leur conformité.

Le rôle des délibérations

Un aspect essentiel du pouvoir réglementaire de la CNDP réside dans sa capacité à émettre des délibérations. Ces actes administratifs viennent préciser les modalités d’application de la loi n° 09-08 à des situations ou des types de traitements spécifiques. Par exemple, la Délibération n° 350-2013 encadre spécifiquement l’installation des systèmes de vidéosurveillance , tandis que la Délibération n° D-113-2020 régit la gestion des courriers. Ces délibérations ont une portée normative et sont juridiquement contraignantes pour les responsables de traitement. Elles constituent une source de droit indispensable pour assurer sa conformité.

Le cadre juridique marocain est donc fondé sur des principes, ce qui nécessite une interprétation réglementaire active. La loi 09-08, par sa nature, fournit des principes généraux et technologiquement neutres, tels que la « finalité » ou le « traitement loyal », sans mentionner explicitement la « vidéosurveillance ». Cette abstraction garantit la durabilité de la loi face aux évolutions technologiques, mais la rend insuffisante pour une application pratique directe. C’est la CNDP qui comble cette lacune en publiant des délibérations spécifiques qui traduisent ces grands principes en règles concrètes et applicables. Le fait que la CNDP ait décidé en 2025 de lancer de nouvelles auditions en vue d’élaborer une 

nouvelle délibération sur ce sujet confirme que la loi est un instrument vivant, constamment interprété et mis à jour par le régulateur en réponse aux changements technologiques et sociétaux. Pour les organisations, cela signifie que la conformité n’est pas un exercice statique à réaliser une seule fois. C’est un processus dynamique qui exige une veille réglementaire continue des publications et des orientations de la CNDP. Se fier uniquement au texte de la loi de 2009 est à la fois insuffisant et risqué.

Partie II: Le Cadre Général de la Vidéosurveillance

Cette partie a pour objet de traduire les principes généraux de la protection des données en règles spécifiques et universellement applicables à tout système de vidéosurveillance installé au Maroc.

Chapitre 3: De l’Image à la Donnée: Qualification de la Vidéosurveillance au Regard de la Loi 09-08

Il est fondamental de poser comme prémisse juridique que tout système de vidéosurveillance utilisant un ensemble de caméras pour la collecte, la visualisation et/ou l’enregistrement d’images susceptibles d’identifier des individus constitue un traitement de données à caractère personnel. Par conséquent, de tels dispositifs sont intégralement et sans exception soumis aux dispositions de la loi n° 09-08 et à la supervision de la CNDP. Le simple visionnage en temps réel sans enregistrement peut, dans certains cas, échapper au champ de la loi, mais dès lors qu’il y a enregistrement et conservation d’images permettant d’identifier des personnes, le régime de la protection des données s’applique pleinement.

Chapitre 4: Les Obligations Fondamentales pour Tout Système de Vidéosurveillance

Qu’il soit installé dans une entreprise, un commerce ou les parties communes d’un immeuble, tout système de vidéosurveillance doit respecter un socle d’obligations communes.

Le principe de la finalité légitime

• La finalité autorisée par défaut: La CNDP a clairement établi que la finalité principale et légitime, relevant du régime de la simple déclaration préalable, est d’assurer « la sécurité des biens et des personnes ». C’est le motif standard et le plus simple à justifier.
• Les finalités interdites ou restreintes (détournement de finalité): L’utilisation d’un système de vidéosurveillance pour toute autre finalité que la sécurité des biens et des personnes est considérée comme un « détournement de finalité » si elle n’a pas fait l’objet d’une autorisation préalable et spécifique de la CNDP. Les exemples de finalités nécessitant une telle autorisation incluent la surveillance de la productivité des employés, l’analyse du comportement des consommateurs dans un magasin, ou la surveillance des étudiants dans un établissement scolaire.Le détournement de finalité est une infraction pénale passible de sanctions sévères.

Le cadre marocain établit ainsi une forme de « hiérarchie de la suspicion » à l’égard des finalités de la surveillance. La CNDP a créé deux voies procédurales distinctes : une « déclaration » simple pour la finalité de sécurité, et une « autorisation » beaucoup plus stricte pour toutes les autres finalités. Cette structure instaure une présomption légale selon laquelle la surveillance pour la sécurité est légitime, tandis que la surveillance pour tout autre motif (comme le contrôle de la performance) est présumée intrusive et illégitime. La charge de la preuve est alors entièrement transférée au responsable du traitement, qui doit convaincre la CNDP de la nécessité et de la proportionnalité de toute surveillance non liée à la sécurité. Les sanctions pénales sévères prévues en cas de détournement de finalité agissent comme un puissant moyen de dissuasion contre toute extension abusive ou injustifiée de la surveillance. Les entreprises ne peuvent donc pas simplement réaffecter leurs caméras de sécurité à des fins de gestion opérationnelle ou d’analyse marketing. Un tel acte constituerait une infraction pénale grave. Chaque finalité doit être légalement justifiée et, si elle ne relève pas de la sécurité, explicitement autorisée par la CNDP.

La durée de conservation des données

• La règle des trois mois: La durée maximale de conservation des enregistrements vidéo est strictement fixée à trois mois. Ce délai est jugé suffisant pour permettre l’examen des images en cas d’incident et pour engager les procédures nécessaires. Il est important de noter que la capacité technique de stockage de l’enregistreur ne doit en aucun cas dicter la durée de conservation.
• Exception pour les procédures judiciaires: En cas d’incident (vol, agression, vandalisme) donnant lieu à une procédure judiciaire, les enregistrements pertinents peuvent être extraits du système (après consignation dans un registre dédié) et conservés jusqu’à la clôture de ladite procédure.

Les obligations de sécurité et de confidentialité

Le responsable du traitement a l’obligation légale de prendre « toutes les précautions utiles » pour préserver la sécurité et la confidentialité des images traitées. Cela vise notamment à empêcher que les images soient détruites, déformées, endommagées ou que des tiers non autorisés puissent y avoir accès. Si le traitement (par exemple, la maintenance ou la supervision à distance) est confié à un sous-traitant, cette relation doit être encadrée par un contrat garantissant le respect de ces obligations de sécurité et de confidentialité.

L’obligation de transparence: informer les personnes

• Affichage obligatoire: Il est impératif d’informer les personnes (employés, clients, visiteurs, résidents) qu’elles pénètrent dans une zone sous vidéosurveillance. Cette information doit se faire au moyen d’une affiche ou d’un pictogramme placé de manière claire et visible, typiquement à l’entrée des lieux surveillés.
• Contenu de l’affichage: L’affiche ou le pictogramme doit comporter des informations précises, qui seront détaillées dans un tableau récapitulatif plus loin dans ce rapport.

Le transfert de données à l’étranger

Tout transfert des images vidéo en dehors du territoire marocain (par exemple, vers un centre de télésurveillance ou un service de stockage cloud situé à l’étranger) est strictement réglementé. Il doit faire l’objet d’une notification ou d’une demande d’autorisation préalable auprès de la CNDP, qui vérifiera si le pays de destination assure un niveau de protection adéquat.

Partie III: Application dans des Contextes Spécifiques

Cette partie fournit une analyse détaillée de la manière dont les règles générales s’appliquent dans les scénarios les plus courants, en soulignant les obligations et les interdictions spécifiques à chaque contexte.

Tableau 1: Analyse Comparative des Règles de Vidéosurveillance par Contexte

Caractéristique	Lieux de Travail	Copropriété (Parties Communes)	Domicile Privé
Responsable du Traitement	L’employeur	Le syndic des copropriétaires	L’individu occupant le domicile
Formalité CNDP Requise	Déclaration préalable (Modèle F-114)	Déclaration préalable	Aucune*
Restrictions Clés de Placement	Interdiction dans les zones de repos, vestiaires, toilettes, locaux syndicaux, et pour la surveillance directe des postes de travail.	Interdiction de filmer les portes des appartements, les fenêtres, balcons ou terrasses privatives.	Interdiction de filmer la voie publique ou la propriété des voisins.
Devoir d’Information Spécifique	Notification individuelle des salariés (avenant au contrat, note de service) en plus de l’affichage général.	Affichage général via pictogramme dans les parties communes.	Aucune* (sauf si le champ de vision empiète sur des zones de passage partagées).

Exporter vers Sheets

*Sous la condition stricte que le dispositif ne filme que l’intérieur de la propriété privée et ne porte pas atteinte à la vie privée des voisins ou à l’espace public.

La loi marocaine opère une distinction subtile entre la « responsabilité » et la « localisation », créant ainsi des obligations nuancées. Une caméra installée dans les parties communes d’un immeuble résidentiel est physiquement à l’extérieur d’un domicile privé, mais sa finalité est de protéger ces mêmes domiciles. La loi résout cette ambiguïté en désignant le représentant collectif (le syndic) comme responsable du traitement , lui imposant ainsi le régime complet de la déclaration. Inversement, une caméra installée sur une maison privée est contrôlée par un particulier, mais si elle filme un espace public comme la rue, elle sort du champ de l’exception applicable à la sphère privée. Cela démontre que le cadre juridique ne repose pas sur une simple dichotomie public/privé, mais sur une analyse plus sophistiquée de qui contrôle les données et de la vie privée de qui est potentiellement affectée. Les obligations légales sont donc liées à la 

portée de l’impact de la surveillance, et non seulement à son emplacement physique. Une caméra sur une villa privée qui filme la rue est juridiquement plus problématique qu’une caméra dans le hall d’un immeuble d’appartements, correctement déclarée et gérée par le syndic.

Chapitre 5: La Vidéosurveillance sur le Lieu de Travail

Équilibre entre sécurité et vie privée

Sur le lieu de travail, l’installation de caméras de surveillance doit trouver un équilibre entre le droit légitime de l’employeur à assurer la sécurité de ses biens et de son personnel, et le respect du droit à la vie privée des salariés. La finalité doit rester strictement celle de la sécurité.

Emplacements autorisés

Les caméras peuvent être installées aux points stratégiques pour la sécurité, tels que :

• Les entrées et sorties des bâtiments.
• Les issues de secours.
• Les voies de circulation.
• Les zones d’entrepôt de marchandises ou de stockage de biens de valeur.
• Les parkings.

Emplacements interdits

Il est formellement interdit d’installer des caméras dans des lieux qui porteraient une atteinte disproportionnée à la vie privée des employés. Cela inclut :

• Les bureaux et postes de travail des salariés, si le but est de surveiller leur performance.
• Les salles de repos ou de pause.
• Les vestiaires et les toilettes.
• Les locaux syndicaux ou des représentants du personnel.

Information spécifique des salariés

Outre l’affichage général obligatoire à l’entrée de l’établissement, l’employeur a l’obligation d’informer individuellement chaque salarié de la mise en place du système de vidéosurveillance. Cette information peut prendre la forme d’un avenant au contrat de travail ou d’une note de service remise à chaque employé. Cette obligation d’information individuelle n’est cependant pas requise si les caméras sont installées dans des lieux non accessibles aux salariés (par exemple, un local technique sécurisé).

Chapitre 6: La Vidéosurveillance dans les Immeubles en Copropriété

Le syndic comme responsable du traitement

Dans le cadre d’un immeuble en copropriété, c’est le représentant légal des copropriétaires, c’est-à-dire le syndic, qui endosse la qualité de « responsable du traitement ». Il lui incombe personnellement de s’assurer que l’installation et la gestion du système de vidéosurveillance respectent toutes les exigences légales et réglementaires.

Nécessité de l’accord des copropriétaires

L’installation de caméras dans les parties communes ne peut être décidée unilatéralement par le syndic. Elle doit faire l’objet d’un vote en assemblée générale des copropriétaires. Un document mentionne qu’un accord d’au moins les trois quarts (¾) des copropriétaires est nécessaire pour valider une telle installation.

Emplacements autorisés dans les parties communes

Les caméras peuvent être installées pour surveiller les parties communes afin de prévenir les dégradations, les vols ou les agressions. Les emplacements typiques incluent :

• Les halls d’entrée et les portes d’accès à l’immeuble.
• Les parkings.
• Les locaux à vélos ou à poussettes.
• Les abords des ascenseurs.

Emplacements interdits

La protection de la vie privée des résidents est primordiale. Les caméras ne doivent en aucun cas filmer :

• Les portes des appartements.
• Les fenêtres, balcons ou terrasses des appartements.

Accès aux images

L’accès aux enregistrements doit être strictement limité et sécurisé. En règle générale, les images ne doivent être consultées qu’en cas d’incident avéré. Elles ne doivent pas servir à une surveillance en temps réel des allées et venues des résidents ou de leurs visiteurs.

Chapitre 7: La Vidéosurveillance dans les Domiciles Privés et les Commerces

L’exception du domicile privé

Un particulier a le droit d’installer un système de vidéosurveillance à l’intérieur de son domicile privé (maison, appartement) sans accomplir de formalité administrative auprès de la CNDP.

Les limites de l’exception

Cette exception est soumise à deux conditions strictes :

1. Le système ne doit pas filmer la voie publique.
2. Le système ne doit pas porter atteinte à la vie privée des voisins en filmant leur propriété (jardin, entrée, fenêtres).

Le non-respect de ces conditions fait sortir le dispositif du cadre de l’exception privée et l’expose aux sanctions prévues par la loi, notamment pour atteinte à la vie privée.

Les établissements commerciaux ouverts au public

Les commerces, cafés, restaurants et autres lieux recevant du public sont soumis à l’ensemble des obligations du régime général. Le responsable de l’établissement doit :

• Justifier l’installation par une finalité de sécurité des biens et des personnes.
• Effectuer une déclaration préalable auprès de la CNDP.
• Apposer un pictogramme d’information visible pour la clientèle.
• Respecter la durée de conservation maximale de trois mois.

Partie IV: Conformité, Sanctions et Perspectives d’Évolution

Cette partie détaille les démarches pratiques pour se mettre en conformité, les conséquences en cas de manquement, et analyse les développements réglementaires significatifs en cours.

Chapitre 8: Le Chemin vers la Conformité: Les Procédures de la CNDP

Le processus de déclaration

• Quand déclarer?: La déclaration doit impérativement être déposée auprès de la CNDP avant l’installation et la mise en service du système de vidéosurveillance dans un lieu de travail ou dans les parties communes d’un lieu privé.
• Comment déclarer?: La déclaration peut être déposée physiquement au bureau d’ordre de la CNDP à Rabat ou envoyée par courrier recommandé. De manière plus moderne, la CNDP a mis en place un portail en ligne, cndp-forms.ma, qui permet de gérer les notifications de traitement de manière dématérialisée.
• Les formulaires: Des formulaires spécifiques doivent être utilisés. La Délibération n° 350-2013 régit la vidéosurveillance. Le formulaire pour la déclaration d’un système de vidéosurveillance sur le lieu de travail est le Modèle F-114. Un formulaire de déclaration normale plus général est le F-211.

Les documents requis

La demande de déclaration doit être accompagnée des pièces suivantes :

1. Un modèle de l’affiche ou du pictogramme d’information qui sera installé sur les lieux surveillés.
2. Un document attestant que la personne signataire du formulaire dispose du pouvoir légal pour engager la personne morale (extrait du registre de commerce, délégation de pouvoir, etc.).
3. Un engagement signé par le responsable du traitement certifiant que le système installé est conforme aux exigences de la loi 09-08 et des délibérations de la CNDP.

Tableau 2: Éléments Obligatoires pour les Pictogrammes d’Information

N°	Élément Requis	Description	Source
1	Identité du Responsable du Traitement	Le nom de l’entreprise, du syndic, ou de l’entité légale responsable du système.
2	Mention de la Vidéosurveillance	Une phrase explicite indiquant que l’établissement ou le lieu est placé sous vidéosurveillance.
3	Finalité du Dispositif	La raison de la surveillance, qui doit être « la sécurité des biens et des personnes ».
4	Coordonnées pour l’Exercice des Droits	Une adresse email, un numéro de téléphone ou une adresse postale permettant aux personnes filmées d’exercer leurs droits d’accès, de rectification et d’opposition.
5	Numéro du Récépissé de la CNDP	Le numéro de référence du récépissé de la déclaration déposée auprès de la CNDP.

Distinction entre déclaration et autorisation

Il est essentiel de ne pas confondre les deux régimes. La déclaration préalable s’applique aux traitements courants qui ne présentent pas de risques particuliers, comme la vidéosurveillance pour la sécurité. L’autorisation préalable est requise pour les traitements jugés plus sensibles, comme ceux utilisant des données sensibles ou ayant des finalités autres que la sécurité. Après le dépôt d’une déclaration, la CNDP dispose d’un délai de 8 jours pour notifier au déclarant sa décision de soumettre le traitement au régime plus strict de l’autorisation, si elle estime que le projet présente des dangers manifestes pour la vie privée.

Chapitre 9: Sanctions et Voies de Recours

Sanctions pénales

Le non-respect de la loi n° 09-08 expose le responsable du traitement à des sanctions pénales. Le détournement de finalité, c’est-à-dire l’utilisation des caméras pour un objectif non déclaré et non autorisé, est passible d’une peine d’emprisonnement de trois mois à un an et/ou d’une amende de 20.000 à 200.000 dirhams. D’autres manquements, comme l’absence de déclaration ou le non-respect des droits des personnes, sont également sanctionnés.

Dépôt de plainte

Toute personne estimant qu’un dispositif de vidéosurveillance porte atteinte à ses droits ou à sa vie privée peut déposer une plainte directement auprès de la CNDP. Plusieurs canaux sont disponibles à cet effet :

• Par courrier à l’adresse de la CNDP.
• Par email à l’adresse plainte@cndp.ma.
• Via un formulaire de plainte en ligne sur le site web de la CNDP.

La CNDP est alors tenue de mener une enquête sur les faits dénoncés et peut prendre les mesures coercitives nécessaires.

Chapitre 10: Le Paysage en Évolution: Analyse des Auditions de la CNDP de 2025

L’impulsion du changement

En mars 2025, la CNDP a officiellement annoncé sa décision d’engager une série d’auditions avec les acteurs concernés en vue d’élaborer une nouvelle délibération-cadre sur la vidéosurveillance. Cette initiative marque un tournant dans la régulation de cette technologie au Maroc.

Les facteurs déterminants

Le principal moteur de cette initiative est l’évolution technologique rapide et la prolifération de nouvelles fonctionnalités, en particulier la reconnaissance faciale. La CNDP a pris conscience que le cadre réglementaire existant, bien que solide, pourrait ne pas être suffisant pour encadrer les risques accrus pour la vie privée que posent ces nouvelles technologies.

L’objectif affiché

L’objectif de la CNDP est double. D’une part, il s’agit d’assurer une « interprétation commune » de la loi 09-08 par tous les acteurs. D’autre part, et c’est le point le plus important, il s’agit de trouver un « juste équilibre » entre les impératifs de sécurité publique et la protection des droits et libertés fondamentaux des citoyens. La démarche est présentée comme une « réflexion éclairée et apaisée » qui doit prendre en compte non seulement les aspects juridiques, mais aussi les dimensions culturelles et sociologiques propres au Maroc.

Analyse et perspectives

Cette initiative de 2025 est un signal fort de la maturité réglementaire du Maroc et de son ambition en matière de gouvernance numérique. Plutôt que de réguler les nouvelles technologies après l’apparition de scandales ou d’abus généralisés, la CNDP adopte une approche proactive. En lançant un processus de consultation publique et multipartite avant que des technologies comme la reconnaissance faciale de masse ne soient largement déployées, elle anticipe les défis. Cette démarche, axée sur la recherche d’un « équilibre » sociétal et la prise en compte des « traits culturels » , positionne le Maroc non plus comme un simple suiveur des normes européennes, mais comme un architecte réfléchi de son propre modèle de gouvernance numérique, susceptible d’inspirer d’autres nations africaines.

Pour les entreprises et les organisations opérant au Maroc, les implications sont claires : il faut s’attendre à un environnement réglementaire plus sophistiqué et potentiellement plus restrictif pour les technologies de surveillance avancées dans un avenir proche. L’issue la plus probable de ces auditions sera une nouvelle délibération qui pourrait introduire des règles plus strictes : obligation d’obtenir une autorisation spécifique pour tout usage de la reconnaissance faciale, exigence de réaliser des analyses d’impact sur la vie privée, voire interdiction pure et simple de certains usages jugés trop intrusifs. L’attentisme serait une stratégie risquée ; la démarche prudente consiste à suivre activement les travaux de la CNDP et à se préparer dès maintenant à des exigences de conformité renforcées.

Partie V: Recommandations Stratégiques

Chapitre 11: Une Feuille de Route pour la Conformité

Ce dernier chapitre synthétise les conclusions du rapport en une feuille de route actionnable destinée aux entreprises, syndics de copropriété et autres responsables de traitement. Elle couvre l’ensemble du cycle de vie d’un projet de vidéosurveillance.

• Phase 1: Justification et Planification
  • Définir une finalité précise, légitime et proportionnée (prioritairement, la sécurité des biens et des personnes).
  • Identifier les zones à surveiller et s’assurer qu’elles sont conformes aux restrictions (pas de zones de vie privée).
  • Évaluer la nécessité : n’existe-t-il pas de mesures moins intrusives pour atteindre le même objectif de sécurité?
• Phase 2: Approbations
  • Pour une entreprise : obtenir l’approbation de la direction et informer les représentants du personnel.
  • Pour une copropriété : inscrire le projet à l’ordre du jour de l’assemblée générale et obtenir le vote requis (majorité des ¾).
• Phase 3: Formalités auprès de la CNDP
  • Identifier le formulaire de déclaration approprié (ex: F-114 pour les lieux de travail).
  • Remplir le formulaire avec des informations précises sur le traitement (finalité, données collectées, durée de conservation, mesures de sécurité).
  • Préparer les pièces jointes : pouvoir du signataire, modèle du pictogramme, engagement de conformité.
  • Soumettre le dossier complet à la CNDP avant toute installation.
• Phase 4: Mise en Œuvre
  • Installer les caméras uniquement dans les emplacements validés, en respectant les angles de vue pour ne pas filmer les zones interdites.
  • Apposer les pictogrammes d’information de manière visible à toutes les entrées de la zone surveillée.
  • Informer individuellement les salariés, le cas échéant.
• Phase 5: Exploitation
  • Mettre en place des mesures de sécurité strictes pour l’accès aux images (accès limité aux personnes habilitées, mots de passe robustes, journalisation des accès).
  • Configurer le système pour que les enregistrements soient automatiquement effacés après la durée légale de trois mois.
  • Établir une procédure claire pour répondre aux demandes de droit d’accès des personnes filmées.
  • Tenir un registre des extractions d’images réalisées dans le cadre d’incidents.
• Phase 6: Veille et Mise à Jour
  • Suivre activement les communications de la CNDP, notamment les nouvelles délibérations ou guides pratiques.
  • Réévaluer périodiquement la pertinence et la conformité du dispositif, surtout en cas de changement de technologie ou d’extension du système.
  • Se préparer à l’entrée en vigueur de la future délibération sur la vidéosurveillance, en particulier concernant les technologies avancées comme la reconnaissance faciale.