Le choix entre cloud et on-premise désigne la décision d'héberger vos données et applications soit chez un fournisseur tiers facturé à l'usage (le cloud), soit sur votre propre infrastructure que vous achetez, installez et administrez (l'on-premise). Au Maroc, cette décision ne se résume plus à un arbitrage technique ou comptable : elle engage votre conformité légale, votre trésorerie en devises et votre souveraineté sur la donnée.
Il n'y a pas de gagnant unique. Pour la majorité des entreprises marocaines moyennes à grandes, la réponse réaliste est hybride : garder les données réglementées et personnelles sur le territoire national (cloud souverain ou on-premise, pour rester conforme à la CNDP, à Bank Al-Maghrib et à la DGSSI) et réserver le cloud public à l'élasticité, à l'IA et aux charges non sensibles. Le choix se décide par profil, pas par dogme.
Pendant longtemps, l'arbitrage marocain était cruel : soit la puissance des hyperscalers mondiaux avec des données qui quittaient le pays, soit la souveraineté locale avec un catalogue de services plus étroit. L'arrivée d'une région hyperscale en territoire marocain rebat les cartes. Ce comparatif passe en revue les cinq options qui s'offrent à vous, le tableau de décision, et les contraintes proprement marocaines qui pèsent sur le choix.
Quelles sont les options d'hébergement réellement disponibles au Maroc en 2026 ?
Cinq familles d'options coexistent désormais. Le cloud public international (AWS, Microsoft Azure, Google Cloud) offre le catalogue de services le plus large et l'élasticité maximale, mais aucun de ces trois acteurs n'exploite de région dédiée au Maroc en 2026 : leurs régions les plus proches sont en Europe ou en Afrique du Sud. L'Oracle Cloud Infrastructure - région de Casablanca, annoncée en avril 2026, constitue la première région de cloud hyperscale en territoire marocain, hébergée en partenariat avec l'opérateur de datacenter Tier III N+One. Le cloud souverain local regroupe des opérateurs marocains comme inwi, N+One, Maroc Telecom ou MEDASYS Maroc Datacenter, qui hébergent la donnée sur le sol national et facturent généralement en dirhams. L'on-premise désigne votre propre datacenter, sous votre contrôle total. Enfin, l'approche hybride combine ces briques selon la sensibilité de chaque charge.
Comment se comparent ces options sur les critères qui comptent vraiment ?
Le tableau ci-dessous synthétise les cinq options sur les axes de décision d'une entreprise marocaine. Les cellules de coût sont volontairement qualitatives : aucun prix par machine ou par licence n'est public et vérifié pour ces opérateurs.
| Critère | Cloud public (AWS/Azure/GCP) | Oracle Cloud Casablanca | Cloud souverain local | On-premise | Hybride | |---|---|---|---|---|---| | Résidence des données | Hors Maroc (Europe/Afrique du Sud) | Au Maroc | Au Maroc | Au Maroc | Mixte, selon classification | | Conformité CNDP (loi 09-08) | Transfert transfrontalier : autorisation préalable requise | Donnée maintenue au pays, à valider par charge | Forte adéquation (sol national) | Adéquation maximale | Conforme si la donnée sensible reste au pays | | Modèle de coût | Opex, sans capex | Opex | Opex en MAD | Capex lourd en amont | Capex (socle) + opex (élasticité) | | Friction Office des Changes | Élevée (paiement en devises) | À vérifier selon facturation | Faible (facturation en MAD) | Nulle (pas de paiement cloud récurrent) | Partielle | | Latence locale | Plus élevée | Faible | Faible | Faible | Variable | | Élasticité / passage à l'échelle | Maximale | Élevée | Plus limitée | Faible (capacité figée) | Élevée sur la couche cloud | | Catalogue IA / services managés | Le plus riche | Riche (grade hyperscaler) | Plus étroit | À construire en interne | Selon la couche cloud | | Charge opérationnelle interne | Faible (modèle de responsabilité partagée) | Faible à moyenne | Faible à moyenne | Élevée (sécurité, patchs, PRA) | Élevée (deux modèles à gérer) | | Niveau de tarif | Moyen à le plus élevé selon la charge | Moyen | Moyen au plus accessible | Le plus élevé en amont | Mixte | | Risque principal | Conformité et devises | Verrouillage fournisseur, maturité locale | Catalogue plus restreint | Capex et compétences rares | Complexité d'architecture |
Quelle option pour quel profil d'entreprise ?
Le bon choix dépend de votre taille, de votre secteur et de votre posture budgétaire. Une banque, assurance ou opérateur d'importance vitale doit privilégier l'on-premise ou le cloud souverain local : la directive de Bank Al-Maghrib de mai 2022 encadre l'externalisation cloud des établissements de crédit, et la DGSSI homologue les systèmes d'information sensibles avant mise en service au titre de la loi 05-20. Un acteur de la santé manipulant des données médicales relève de l'autorisation préalable de la CNDP (article 23 de la loi 09-08) : la donnée doit rester maîtrisée, donc locale ou on-premise. Une PME ou ETI numérique sans contrainte sectorielle lourde, qui cherche à lancer vite des produits ou de l'IA, gagne à partir en cloud public ou sur la région Oracle Casablanca, en mode opex. Une entreprise très sensible à la trésorerie en devises a intérêt aux opérateurs locaux facturés en MAD. Et toute organisation à charges mixtes converge naturellement vers l'hybride. Pour structurer cet arbitrage, notre offre de conseil digital et stratégie IT cadre la classification des données avant toute migration.
En quoi la CNDP et la loi 09-08 contraignent-elles le choix cloud ?
C'est le premier facteur de décision, et le plus mal compris. Héberger les données personnelles de résidents marocains chez AWS, Azure ou Google Cloud constitue un transfert transfrontalier, puisque les régions de ces fournisseurs sont hors du Maroc. Les articles 43 et 44 de la loi 09-08 exigent alors une autorisation préalable de la CNDP lorsque le pays de destination n'assure pas un niveau de protection adéquat, le traitement sous-jacent devant lui-même être déclaré ou autorisé. La sanction d'un transfert non autorisé est sérieuse : 3 mois à 1 an d'emprisonnement et/ou une amende de 20 000 à 200 000 MAD.
Attention à ne pas surinterpréter : la CNDP n'interdit pas le cloud étranger et son usage n'est pas illégal en soi. Il est permis, sous condition d'autorisation et de garanties. Mais cette friction explique pourquoi tant d'entreprises basculent vers une région locale ou souveraine. Pour le détail des formalités, consultez notre guide CNDP et loi 09-08 et le hub sécurité et conformité des données.
La région Oracle Casablanca change-t-elle vraiment la donne ?
Oui, sur un point précis. Annoncée en avril 2026, la région Oracle Cloud Infrastructure de Casablanca est décrite comme la première région de cloud public hyperscale en Afrique du Nord. Elle est hébergée en partenariat avec N+One Datacenters, opérateur marocain de datacenter Tier III, et Oracle a annoncé un projet de seconde région à Settat (sans calendrier ferme) qui servirait la reprise d'activité en territoire national.
Concrètement, pour la première fois, une entreprise peut combiner des services de grade hyperscaler (calcul, analytique, IA) avec un hébergement de la donnée sur le sol marocain. Cela réduit l'arbitrage historique entre puissance et résidence des données, et adoucit les inquiétudes liées au transfert transfrontalier. Les réserves demeurent : l'offre est récente et propre à Oracle (verrouillage fournisseur, écosystème plus étroit que celui d'AWS ou Azure pour certaines équipes), le traitement CNDP doit être validé charge par charge, et la facturation en devises peut encore relever des règles de l'Office des Changes si elle n'est pas réglée localement. La maturité et le support local montent encore en puissance.
Comment gérer le paiement en devises et la friction Office des Changes ?
C'est l'angle marocain le plus souvent oublié. Payer un fournisseur cloud non-résident en devises est encadré par les règles de l'Office des Changes. La dotation e-commerce permet aux entreprises marocaines de régler par carte de paiement internationale des services numériques étrangers, dont l'hébergement cloud, les licences logicielles, le SaaS et la publicité en ligne. Les sociétés labellisées jeune entreprise innovante par l'Agence de Développement du Digital peuvent ainsi régler jusqu'à 2 000 000 MAD par année civile par carte internationale au titre de l'e-commerce.
Il existe d'autres plafonds selon les profils, mais ils varient selon les textes : ne fixez pas un plafond général unique dans votre modèle financier sans le faire valider. La conséquence pratique est claire : un opérateur local qui facture en dirhams supprime cette friction et simplifie la comptabilité devises. Pour un acheteur sensible aux questions de change, cet argument penche nettement en faveur du cloud souverain marocain ou d'une facturation locale.
L'écosystème souverain marocain est-il assez mature pour des charges sérieuses ?
Oui, il est réel et crédible. inwi est l'opérateur qui exploite trois datacenters certifiés Tier III Facility par l'Uptime Institute au Maroc, situés à Rabat (Technopolis, certifié depuis 2019), Settat et Marrakech, et commercialise un cloud souverain avec hébergement sur le territoire national. N+One, à Casablanca et Settat, met en avant une résidence des données garantie au Maroc et une latence locale qu'il annonce, en argument commercial, sous environ 5 ms depuis Casablanca (chiffre fournisseur, à ne pas considérer comme indépendamment vérifié) pour ses services de colocation, IaaS et cloud privé. S'y ajoutent Maroc Telecom et MEDASYS Maroc Datacenter.
La contrepartie est honnête : le catalogue de services managés, de PaaS et d'IA reste plus étroit que celui des hyperscalers mondiaux, l'empreinte internationale pour une reprise d'activité hors frontières est plus réduite, et la capacité varie d'un opérateur à l'autre. La certification Tier III renvoie au référentiel général de l'Uptime Institute : ne lui attachez pas une promesse de disponibilité chiffrée propre au Maroc.
FAQ
Le cloud étranger est-il interdit pour les données marocaines ? Non. Héberger des données personnelles de résidents marocains hors du Maroc est un transfert transfrontalier soumis à l'autorisation préalable de la CNDP au titre des articles 43 et 44 de la loi 09-08, avec une exigence de niveau de protection adéquat. C'est permis sous conditions, pas interdit. En revanche, un transfert sans l'autorisation requise expose à des sanctions pénales et financières.
Quelle option coûte le moins cher au Maroc ? Aucun prix public vérifié ne permet de trancher au dirham près, et il n'existe pas de chiffre crédible d'économie en pourcentage. En tendance, l'on-premise concentre le coût en amont (capex lourd) et n'est économique que pour des charges stables et fortement utilisées. Le cloud et le souverain local fonctionnent en opex, sans matériel à acheter, l'option locale en MAD évitant en plus le surcoût de change.
Une banque marocaine peut-elle utiliser le cloud public ? C'est très encadré. La directive de Bank Al-Maghrib de mai 2022 fixe des règles minimales d'externalisation cloud pour les établissements de crédit, élaborée avec la DGSSI et la CNDP. La DGSSI homologue par ailleurs les systèmes sensibles au titre de la loi 05-20. En pratique, les données sensibles bancaires sont attendues sur le territoire marocain, ce qui oriente vers l'on-premise ou le souverain local.
La région Oracle de Casablanca rend-elle AWS et Azure obsolètes ? Non. Oracle est, en 2026, le seul hyperscaler à exploiter une région en territoire marocain, ce qui résout la question de résidence pour qui choisit OCI. AWS, Azure et Google Cloud conservent un catalogue et un écosystème plus larges, mais leurs régions restent hors du Maroc. Le choix dépend donc de vos charges, de votre tolérance au verrouillage fournisseur et de vos contraintes de conformité.
Pourquoi l'hybride est-il souvent recommandé ? Parce qu'il réconcilie deux exigences contradictoires : garder la donnée réglementée et personnelle au pays (conformité CNDP, Bank Al-Maghrib, DGSSI) tout en exploitant le cloud public ou Oracle pour l'élasticité, l'IA et l'innovation. Il permet une migration par phases, donc moins risquée. Sa contrepartie est une complexité d'architecture supérieure : deux modèles de sécurité, une gouvernance de classification des données et des coûts d'intégration à anticiper.
Sources
Dernière vérification : 17 juin 2026.
- DataCenterDynamics et Morocco World News, avril 2026 (lancement de la région Oracle Cloud Casablanca, partenariat N+One, projet de seconde région à Settat).
- CNDP (cndp.ma) et texte de la loi 09-08 ; analyses Upsilon Consulting et Cabinet Jawhari (articles 23, 43 et 44, sanctions).
- LexisNexis Maroc (lexisma.info) et Cabinet Jawhari (sanctions pénales et financières des articles 43/44).
- Boursenews.ma, « Cloud Banking : Bank Al-Maghrib va encadrer la pratique » (2022) ; couverture L'Opinion.ma et analyse Boursenews (DGSSI, loi 05-20).
- LesEco.ma, Le360, La Vie éco, FNH et Telquel (datacenters Tier III et cloud souverain inwi).
- N+One (matériels commerciaux via Hostino/DCmag) et DataCenterDynamics (résidence et latence annoncées).
- Office des Changes (oc.gov.ma, Commerce électronique à l'international, art. 121 IGOC) et guide dotations 2026 d'Upsilon Consulting.
- Cloudwards « AWS vs Azure vs Google Cloud in 2026 » et pages d'infrastructure mondiale AWS/Google Cloud ; Console Connect Africa (régions hyperscalers hors Maroc).
Le verdict pragmatique : classez d'abord vos données par sensibilité, gardez le réglementé au Maroc et réservez le cloud public à l'élasticité ; pour cadrer cet arbitrage sans faux pas de conformité, parlons de votre architecture.