Cadre juridique, champ d’application et mise en conformité des systèmes d’information
La digitalisation des services publics et privés s’accompagne d’une exposition accrue aux cybermenaces : attaques informatiques, indisponibilité des systèmes, atteintes à l’intégrité ou à la confidentialité des données.
Dans ce contexte, le Maroc a adopté la loi n°05-20 relative à la cybersécurité, promulguée par le Dahir n°1-20-69 du 25 juillet 2020.
Cette loi établit un cadre juridique national visant à renforcer la sécurité, la résilience et la fiabilité des systèmes d’information, tout en consolidant la confiance numérique.
La loi 05-20 : objet et finalité
La loi 05-20 a pour objectif principal de :
- protéger les systèmes d’information contre les cyberattaques ;
- assurer la continuité des services essentiels ;
- sécuriser les infrastructures numériques critiques ;
- encadrer les obligations des acteurs publics et numériques ;
- instaurer une gouvernance nationale de la cybersécurité.
Elle fixe un socle minimal de règles de sécurité, proportionnées aux risques, applicables selon la nature et le rôle des organisations concernées.
Définitions essentielles
La loi introduit plusieurs notions clés, notamment :
- Incident de cybersécurité : événement susceptible de compromettre la disponibilité, l’intégrité ou la confidentialité des systèmes ou des données.
- Cybersécurité : ensemble des mesures, procédures et moyens visant à protéger les systèmes d’information contre les incidents issus du cyberespace.
- Système d’information : ressources humaines, techniques, logicielles et organisationnelles permettant de collecter, traiter et diffuser l’information.
- Système d’information sensible : système dont une atteinte aurait un impact significatif sur une entité ou une infrastructure critique.
- Infrastructure d’importance vitale (IIV) : installation ou système indispensable au fonctionnement de la société, de l’économie ou à la sécurité nationale.
Champ d’application de la loi 05-20
La loi 05-20 s’applique obligatoirement aux personnes morales suivantes :
Entités publiques
- Administrations de l’État
- Collectivités territoriales
- Établissements et entreprises publics
- Toute personne morale de droit public
Infrastructures d’importance vitale
- Acteurs relevant de secteurs stratégiques (énergie, télécommunications, transport, santé, etc.)
Acteurs du numérique
- Exploitants de réseaux publics de télécommunications
- Fournisseurs d’accès à Internet
- Prestataires de services numériques (cloud, hébergement, plateformes)
- Prestataires de services de cybersécurité
Pour ces organisations, la conformité à la loi 05-20 est une obligation légale.
Hors champ d’application : ce que la loi ne vise pas directement
La loi 05-20 ne s’applique pas directement :
- aux particuliers dans leur usage personnel ;
- aux entreprises privées qui ne sont ni opérateurs numériques, ni prestataires critiques, ni entités publiques.
Toutefois, une organisation peut entrer dans le champ en fonction de son activité, de son évolution ou de son rôle dans l’écosystème numérique.
Entreprises hors champ : comment bénéficier de la loi 05-20
Même sans obligation légale, une entreprise hors champ peut tirer des bénéfices concrets de la loi 05-20 :
- utiliser la loi comme référentiel national de bonnes pratiques ;
- renforcer la confiance des clients, partenaires et donneurs d’ordre ;
- anticiper une évolution future de son activité ou de la réglementation ;
- réduire les risques opérationnels liés aux cyberattaques.
La loi 05-20 devient alors un cadre de référence volontaire, cohérent avec les standards internationaux.
Obligations et responsabilités des personnes morales dans le champ
Les organisations soumises à la loi doivent notamment :
- héberger les données sensibles exclusivement sur le territoire national.
- définir et mettre en œuvre une politique de sécurité des systèmes d’information ;
- identifier et gérer les risques de cybersécurité ;
- classifier les systèmes et les actifs informationnels ;
- désigner un Responsable de la Sécurité des Systèmes d’Information (RSSI) ;
- auditer régulièrement les systèmes d’information ;
- déclarer les incidents de cybersécurité à l’autorité nationale ;
- élaborer des plans de continuité et de reprise d’activité ;
Sanctions prévues par la loi 05-20
La loi prévoit des sanctions financières dissuasives, notamment :
- 200 000 à 400 000 MAD pour :
- Hébergement de données sensibles hors du territoire national
- Absence d’homologation des systèmes sensibles
- Recours à des prestataires non qualifiés
- 100 000 à 200 000 MAD pour :
- Non-déclaration des incidents
- Obstruction aux audits
- Non-respect des obligations techniques
En cas de récidive, les sanctions peuvent être doublées.
Qui bénéficie de la loi 05-20 et comment ?
L’État : meilleure résilience numérique
Les organisations : réduction des risques et des interruptions
Les citoyens : protection indirecte des services essentiels et des données
L’économie : confiance numérique et attractivité renforcée
L’écosystème cybersécurité : structuration et professionnalisation du marché
Loi 05-20 et loi 09-08 : un cadre juridique complémentaire
La loi 05-20 et la loi 09-08 poursuivent des objectifs distincts mais étroitement liés.
La loi 05-20 se concentre sur la sécurité et la résilience des systèmes d’information, tandis que la loi 09-08 encadre la protection des données à caractère personnel et la vie privée des personnes physiques.
Leur croisement est naturel : un système d’information sécurisé constitue une condition essentielle à la protection effective des données personnelles, et inversement, le respect des principes de la loi 09-08 renforce les exigences de sécurité prévues par la loi 05-20. Ensemble, ces deux textes forment un socle juridique cohérent visant à sécuriser les usages numériques, protéger les droits des personnes et renforcer la confiance dans l’écosystème digital marocain.