La gouvernance de l'IA responsable désigne l'ensemble des politiques, des rôles et des contrôles qu'une entreprise met en place pour concevoir, déployer et surveiller ses systèmes d'intelligence artificielle de manière éthique, conforme et maîtrisée. Elle traduit des principes (équité, transparence, supervision humaine) en procédures vérifiables, du registre des cas d'usage jusqu'à l'audit.
En résumé : le Maroc n'a pas encore de loi IA en vigueur (le projet de loi-cadre « Digital X.0 » est à l'étude), mais vos systèmes d'IA peuvent déjà tomber sous l'EU AI Act dès que leurs résultats sont utilisés dans l'Union, et vos données personnelles restent encadrées par la loi 09-08 et la CNDP. Une gouvernance interne (charte, classification des risques, supervision humaine) n'est plus une question d'éthique abstraite, c'est une condition d'accès au marché.
Beaucoup de dirigeants marocains traitent la gouvernance de l'IA comme un sujet de conformité futur, à régler « quand la loi sortira ». C'est une erreur de calendrier. Les obligations qui mordent aujourd'hui ne viennent pas d'un texte marocain : elles viennent de vos clients européens, de la CNDP sur le volet données, et des appels d'offres qui exigent désormais des garanties. Ce guide pose un cadre opérationnel, proportionné et spécifique au contexte marocain.
Pourquoi la gouvernance de l'IA devient urgente pour une entreprise marocaine ?
Trois pressions convergent, et aucune n'attend la loi marocaine. D'abord, l'exposition européenne : l'EU AI Act (règlement (UE) 2024/1689), entré en vigueur le 1er août 2024, s'applique de manière extraterritoriale. Son article 2 vise les fournisseurs et déployeurs établis dans un pays tiers dès lors que les résultats produits par le système d'IA sont utilisés dans l'Union. Une entreprise marocaine d'offshoring, de BPO, de SaaS ou de fintech qui sert des clients européens peut donc relever de ce texte.
Ensuite, la pression données : dès qu'un système d'IA traite des données personnelles, la loi 09-08 et la CNDP s'appliquent pleinement (voir notre guide CNDP et loi 09-08).
Enfin, la pression marché : la feuille de route Maroc IA 2030 (« AI Made in Morocco »), présentée le 12 janvier 2026 à Rabat à l'intérieur de la stratégie Digital Morocco 2030, élève les attentes des donneurs d'ordre et des investisseurs plus vite que la maturité interne des organisations. La gouvernance devient un critère d'éligibilité aux contrats, pas une option décorative.
Le Maroc a-t-il une loi sur l'intelligence artificielle ?
Non, pas à ce jour. Il faut être précis sur ce point, car la confusion coûte cher. Le Maroc travaille à un projet de loi-cadre « Digital X.0 » destiné à encadrer l'IA (évaluation des risques, transparence, révision humaine des décisions automatisées, enregistrement des systèmes à haut risque), la souveraineté des données et l'identité numérique. Mais en 2025-2026, ce texte reste un projet en cours d'examen par le gouvernement, largement inspiré de la réglementation européenne. Il n'est pas en vigueur et ne crée aujourd'hui aucune obligation contraignante.
De même, l'EU AI Act n'a pas été « adopté » par le Maroc : c'est du droit de l'Union, qui ne touche les entreprises marocaines que par son effet extraterritorial. Et les sanctions de la loi 09-08 (amendes de 10 000 à 300 000 dirhams, emprisonnement de trois mois à deux ans, peines doublées pour une personne morale) sanctionnent des infractions sur les données personnelles, pas des manquements spécifiques à l'IA. Construire votre gouvernance maintenant, c'est vous pré-positionner pour le « Digital X.0 » plutôt que de subir la transition.
Quels cadres de référence pour structurer ma gouvernance de l'IA ?
Plutôt que de tout inventer, appuyez-vous sur des référentiels reconnus. Trois socles complémentaires se distinguent, plus le texte européen qui contraint déjà, chacun avec un statut différent qu'il faut comprendre pour ne pas sur-promettre.
| Référentiel | Nature | Ce qu'il apporte | Statut | |-------------|--------|------------------|--------| | Recommandation UNESCO sur l'éthique de l'IA | Norme éthique mondiale (2021, adoptée par les 193 États membres dont le Maroc) | Socle de valeurs : supervision humaine, transparence, équité, vie privée, redevabilité, sûreté | Non contraignante, engagement de mise en œuvre | | NIST AI RMF 1.0 | Cadre de gestion des risques (NIST, janvier 2023) | Modèle opérationnel en quatre fonctions : Govern, Map, Measure, Manage | Volontaire, recommandé en bonne pratique | | ISO/IEC 42001:2023 | Norme de système de management de l'IA (AIMS) | Exigences certifiables et auditables pour établir et améliorer un système de management de l'IA | Volontaire mais certifiable | | EU AI Act | Règlement européen (UE) 2024/1689 | Approche par les risques (inacceptable, haut, limité, minimal) et obligations de conformité | Contraignant en UE, portée extraterritoriale (art. 2) |
Le Maroc dispose d'un ancrage local crédible : la Recommandation UNESCO, complétée par le centre « AI Movement » de l'UM6P à Salé, premier centre de catégorie II dédié à l'IA en Afrique (statut accordé en novembre 2023), et le profil RAM (Readiness Assessment Methodology) complété par le Royaume. Vous pouvez fonder votre charte sur ces principes plutôt que d'importer uniquement des cadres américains ou européens.
Comment classer mes systèmes d'IA par niveau de risque ?
La pierre angulaire d'une gouvernance proportionnée est l'inventaire. On ne gouverne que ce qu'on a recensé. Tenez un registre des systèmes et cas d'usage d'IA (modèle utilisé, finalité, données mobilisées, propriétaire métier, fournisseur), puis classez chaque entrée par niveau de risque en vous inspirant des paliers de l'EU AI Act.
| Niveau de risque (logique EU AI Act) | Exemples indicatifs | Posture de contrôle | |--------------------------------------|---------------------|---------------------| | Inacceptable (interdit en UE) | Pratiques manipulatrices, notation sociale | À proscrire | | Haut risque | Tri de CV, scoring crédit, décisions RH ou d'accès | Documentation, supervision humaine, tests de biais, journalisation | | Risque limité | Chatbot client, assistant interne | Transparence : informer l'utilisateur qu'il interagit avec une IA | | Risque minimal | Filtre anti-spam, suggestions bureautiques | Bonnes pratiques générales |
Cette classification permet de concentrer l'effort là où l'impact est réel. Un chatbot de FAQ et un outil de scoring crédit n'appellent pas le même niveau de contrôle. Pour les systèmes à haut risque destinés à des clients européens, l'EU AI Act impose notamment un système de gestion des risques (article 9), une gouvernance des données (article 10), une documentation technique (article 11), la transparence envers les déployeurs (article 13) et une supervision humaine (article 14).
Comment garantir la supervision humaine et la redevabilité ?
L'automatisation sans responsable est le piège le plus fréquent. Chaque système d'IA conséquent doit avoir un propriétaire humain nommé, et chaque décision à fort impact doit pouvoir être révisée, contestée et annulée par une personne physique. C'est précisément la logique de l'article 14 de l'EU AI Act, qui exige que les systèmes à haut risque soient effectivement supervisés par des êtres humains.
Concrètement, distinguez deux modes. Le human-in-the-loop insère une validation humaine avant l'exécution d'une décision (un dossier crédit refusé par le modèle est revu avant notification). Le human-on-the-loop laisse le système agir mais sous surveillance, avec capacité d'intervention et d'override. Définissez par écrit les seuils de déclenchement, la procédure d'escalade et le droit d'annulation.
Mettez aussi en place une instance de pilotage : un comité de gouvernance de l'IA pluridisciplinaire (direction, juridique, sécurité, métiers) qui valide les cas d'usage à risque, arbitre et tient le registre à jour. Une charte interne de l'IA, alignée sur les principes UNESCO, fixe le périmètre des usages acceptables. Notre service de transformation IA accompagne la mise en place de ce dispositif.
Comment traiter le biais, l'équité et la transparence dans le contexte marocain ?
Les modèles importés ne sont pas neutres pour le marché marocain, et c'est un angle mort de gouvernance souvent négligé. Les modèles étrangers prêts à l'emploi sont les plus faibles sur les données en arabe, en darija et en amazighe, et sur les réalités démographiques locales. Un dispositif d'équité crédible doit donc tester les sorties sur ces langues et ces populations, pas seulement en français ou en anglais.
Trois pratiques structurent ce volet. D'abord, les tests de résultats discriminatoires : vérifier que le système ne produit pas d'écarts injustifiés selon le genre, l'origine ou la langue. Ensuite, la transparence : documenter le modèle et ses limites, et signaler à l'utilisateur lorsqu'il interagit avec une IA (logique de transparence du palier « risque limité » de l'EU AI Act). Enfin, l'explicabilité proportionnée : plus une décision est lourde de conséquences, plus vous devez pouvoir expliquer comment elle a été prise.
Cette exigence rejoint le socle de valeurs de la Recommandation UNESCO (équité, non-discrimination, transparence et explicabilité) et vous protège autant sur le plan réputationnel que contractuel.
Comment gérer la protection des données et la résidence dans une chaîne d'IA ?
C'est le point de friction le plus concret au Maroc. Dès que vous entraînez ou exécutez un modèle sur des données personnelles, la loi 09-08 s'applique : base légale, finalité déterminée, minimisation. Le sujet sensible est le transfert hors du pays. L'article 43 de la loi 09-08 encadre les transferts de données personnelles vers un destinataire ou un serveur situé hors du Maroc : ils exigent soit une autorisation préalable de la CNDP, soit que le pays de destination assure un niveau de protection adéquat (le consentement exprès et éclairé de la personne pouvant constituer une base alternative).
Or les API d'IA cloud les plus courantes (OpenAI et autres) hébergent leurs traitements à l'étranger. Envoyer des données personnelles marocaines vers ces services peut donc déclencher l'article 43. La CNDP a déjà sanctionné publiquement des défauts de notification de transferts transfrontaliers.
| Option de traitement | Considération de conformité | Posture recommandée | |----------------------|-----------------------------|---------------------| | API IA étrangère avec données personnelles | Transfert art. 43 : autorisation CNDP ou pays adéquat | Encadrer, anonymiser, ou éviter | | Hébergement local ou cloud souverain | Données conservées au Maroc | Privilégier pour les données sensibles | | Anonymisation / pseudonymisation en amont | Réduit l'exposition aux données personnelles | À intégrer dès la conception du pipeline |
La minimisation des données dans vos chaînes d'IA et l'orientation vers un hébergement souverain ne sont pas des détails techniques : ce sont des décisions de gouvernance.
Comment rendre ma gouvernance prouvable et l'améliorer dans la durée ?
Une gouvernance déclarée mais non documentée ne vaut rien face à un audit, un client ou un régulateur. Le principe : rendre le dispositif prouvable, pas seulement affiché. Conservez une documentation technique par système, des journaux et pistes d'audit (logging), la traçabilité des modèles et des jeux de données (lineage), et programmez des audits internes périodiques.
Opérationnellement, le NIST AI RMF (Govern, Map, Measure, Manage) fournit un modèle de fonctionnement clair, appliqué de façon itérative sur tout le cycle de vie. Pour les organisations qui visent une reconnaissance externe, ISO/IEC 42001:2023, première norme certifiable de système de management de l'IA, constitue la cible : mappez vos contrôles sur les deux référentiels.
Enfin, la gouvernance vit dans le temps : surveillance post-déploiement, processus de traitement des incidents et plaintes IA, gouvernance des modèles tiers et fournisseurs, et une cadence de revue alignée sur l'évolution des règles marocaines et européennes. Pour la plupart des PME et ETI marocaines, l'entrée réaliste est un cadre léger (charte, registre de risques, supervision humaine) avant de viser la certification ISO/IEC 42001. Ce séquencement est cohérent avec notre guide complet de l'IA pour les entreprises marocaines.
FAQ
Le Maroc impose-t-il déjà des obligations légales spécifiques à l'IA ? Non. Aucune loi marocaine spécifique à l'IA n'est en vigueur à la mi-2026. Le projet de loi-cadre « Digital X.0 » est encore à l'étude. Vos obligations actuelles viennent de la loi 09-08 sur les données personnelles et, pour les entreprises servant l'Union européenne, de l'EU AI Act via sa portée extraterritoriale. Construisez votre gouvernance maintenant pour vous pré-positionner.
Une entreprise 100 % marocaine peut-elle être soumise à l'EU AI Act ? Oui. L'article 2 du règlement (UE) 2024/1689 vise les fournisseurs et déployeurs établis dans un pays tiers dès lors que les résultats produits par leur système d'IA sont utilisés dans l'Union. Une société marocaine d'offshoring, de SaaS ou de BPO servant des clients européens peut donc relever de ce texte, indépendamment de toute loi marocaine.
Puis-je utiliser une API d'IA américaine avec mes données clients marocaines ? Avec prudence. Si ces données sont personnelles, leur envoi vers un serveur étranger relève de l'article 43 de la loi 09-08, qui exige une autorisation préalable de la CNDP ou un pays de destination adéquat. Privilégiez l'anonymisation en amont, un hébergement local ou un cloud souverain pour les données sensibles, et documentez votre base légale.
NIST AI RMF et ISO/IEC 42001 sont-ils obligatoires ? Non. Le NIST AI RMF est un cadre volontaire publié en janvier 2023. ISO/IEC 42001:2023 est une norme volontaire, mais certifiable et auditable. Aucun des deux n'est légalement obligatoire au Maroc. Ils servent de références de bonne pratique pour structurer et prouver votre gouvernance, ce qui pèse de plus en plus dans la due diligence des clients.
Par où commencer si mon organisation n'a aucune gouvernance de l'IA ? Commencez léger et proportionné : rédigez une charte IA alignée sur les principes UNESCO, désignez un propriétaire et un comité de gouvernance, dressez le registre de vos cas d'usage, et classez-les par niveau de risque. Ajoutez la supervision humaine sur les décisions sensibles. La certification ISO/IEC 42001 viendra plus tard, une fois les bases consolidées.
Sources
Dernière vérification : 17 juin 2026.
- UNESCO, « Recommendation on the Ethics of Artificial Intelligence » et Global AI Ethics and Governance Observatory, profil Maroc (unesco.org)
- EU Artificial Intelligence Act, règlement (UE) 2024/1689, articles 2, 9 à 14 et 99 (artificialintelligenceact.eu)
- CNDP, loi 09-08 et Dahir n° 1-09-15 du 18 février 2009 (cndp.ma) ; analyses sur l'article 43 et les sanctions (Médias24, LexisNexis Maroc)
- NIST, AI Risk Management Framework (AI RMF 1.0), janvier 2023 (nist.gov)
- ISO/IEC 42001:2023, Artificial Intelligence Management System (présentations Microsoft Learn, BSI, TÜV SÜD)
- Morocco World News et Digital Watch Observatory, « Maroc IA 2030 » et « Digital Morocco 2030 » (2025-2026)
- Ecofin Agency et Regulations.ai, projet de loi-cadre « Digital X.0 » (2025-2026)
En matière d'IA responsable au Maroc, l'entreprise qui structure sa gouvernance dès maintenant transforme une contrainte réglementaire en avantage de marché : parlons de votre cadre de gouvernance de l'IA.