الانتقال إلى المحتوى الرئيسي
DataSouv
تدقيق
دليل · القانون 09-08

الامتثال للجنة الوطنية بالمغرب — الدليل الشامل 2026

كل ما يجب أن تعرفه المنظمة المغربية للامتثال للقانون 09-08 والمرسوم 2-09-165، دون النسخ الحرفي للائحة العامة لحماية البيانات.

بقلم ياسمين ر.، خبيرة في حماية البيانات الشخصية11 دقيقة قراءة

توضيح بشأن التصنيف الجديد للاستمارات لسنة 2025. كانت عدة وثائق تحضيرية سابقة تستخدم رموزاً أصبحت اليوم متجاوزة لاستمارات اللجنة الوطنية. التصنيف المعمول به حالياً على cndp.ma هو كالتالي: F211 التصريح العادي، F214 التصريح المبسط (الحالات المرخص لها مسبقاً بمقتضى قرار إطار)، F112 الإذن المسبق (كان يُشار إليه سابقاً بـ F212)، F113 الإذن المبسط، F118 النقل الدولي للبيانات (كان يُشار إليه سابقاً بـ F214 في بعض الوثائق). تم تصحيح هذا الدليل بتاريخ 12 ماي 2026 ليعكس هذا التطابق.

الامتثال للجنة الوطنية ليس موضوعاً «أوروبياً مستورداً»، بل هو التزام مغربي يستند إلى القانون رقم 09-08 الصادر سنة 2009 وإلى مرسومه التطبيقي 2-09-165 المنشور في السنة نفسها. وكل منظمة، مغربية كانت أو أجنبية، تعالج معطيات شخصية تخص أشخاصاً موجودين بالمغرب، تخضع لهذا الإطار الذي تشرف عليه اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) ومقرها بالرباط.

يغطي هذا الدليل المرجعي مجمل الالتزامات العملية، استمارة باستمارة، ومادة بمادة، وفق منطق تشغيلي موجه للمنظمات المغربية في أفق 2026. وهو لا يعوض تدقيقاً مخصصاً، لكنه يمنحك الخريطة الكاملة التي يمكن العودة إليها.

قاعدة للقراءة. هذا الدليل ذو طابع وصفي وقانوني، لكنه ليس ملزماً قانونياً. وفي المسائل الحساسة — تكييف عملية معالجة معينة، الاختيار بين F112 وF211، النزاعات — يبقى رأي مكتب محاماة متخصص لا غنى عنه. دورنا: تغطية 90% من الأسئلة التشغيلية، وتحديد الـ 10% الباقية التي تستلزم محامياً.

1. الإطار القانوني في سطرين

ترتكز حماية المعطيات الشخصية بالمغرب على نصين متراكبين:

  • القانون رقم 09-08 المتعلق بحماية الأشخاص الذاتيين تجاه معالجة المعطيات ذات الطابع الشخصي، والذي يضع المبادئ (الغاية، التناسب، الجودة، الأمن، الحقوق) ويؤسس اللجنة الوطنية.
  • المرسوم رقم 2-09-165 التطبيقي، الذي يحدد الكيفيات الملموسة: استمارات اللجنة، آجال المعالجة، تنظيم اللجنة، كيفيات ممارسة الحقوق.

سلطة المراقبة هي اللجنة الوطنية، التي أحدثها القانون 09-08 وتتوفر على صلاحيات التحقيق والإنذار واقتراح العقوبات. وتنشر قراراتها (مقررات وتوجيهات)، بعضها علني ويشكل المرجع الفقهي للممارسين.

يُضاف إلى هذين النصين الرئيسيين، بالنسبة للمنظمات المعرضة للاتحاد الأوروبي (الفروع التابعة لمجموعات أوروبية، المواقع الموجهة للأوروبيين، التجارة الإلكترونية التي تشحن نحو الاتحاد)، اللائحة العامة لحماية البيانات (GDPR) (لائحة الاتحاد الأوروبي 2016/679). يتراكب الإطاران دون أن يستثني أحدهما الآخر: يجب احترام الأكثر صرامة منهما، عملية معالجة بعملية معالجة.

2. على من ينطبق القانون 09-08؟

2.1 النطاق المادي

ينطبق القانون على كل معالجة آلية أو غير آلية للمعطيات ذات الطابع الشخصي متى كانت مدرجة في ملف مهيكل. والتعريف واسع جداً:

  • قاعدة بيانات الزبناء في نظام CRM: نعم.
  • ملف Excel للموارد البشرية: نعم.
  • ملف ورقي مرتب بالأسماء: نعم.
  • تسجيلات المراقبة بالفيديو التي تمكن من تحديد هوية الأشخاص: نعم.
  • سجلات الخادم التي تحتوي على عنوان IP: نعم (يُعتبر عنوان IP من المعطيات الشخصية في الفقه الحديث).

2.2 النطاق الترابي

ينطبق القانون:

  • على عمليات المعالجة المنجزة فوق التراب المغربي، أياً كانت جنسية المسؤول عن المعالجة؛
  • على عمليات المعالجة المنجزة من الخارج لكن باستعمال وسائل موجودة بالمغرب (الاستضافة، معالج محلي، أجراء بالمغرب)، باستثناء وسائل العبور البسيطة؛
  • على عمليات المعالجة الموجهة إلى أشخاص موجودين بالمغرب، وفق منطق ذي امتداد عبر-ترابي متزايد ومتوائم مع المعايير الدولية.

2.3 الفاعلون الثلاثة

الدورالتعريف التشغيلي
المسؤول عن المعالجةالشخص المعنوي أو الذاتي الذي يحدد الغايات والوسائل. أي المنظمة التي تقرر «لماذا وكيف».
المعالجالشخص الذي يعالج البيانات لحساب المسؤول (مستضيف، مزود SaaS، مقدم خدمات معلوماتية، مكتب موارد بشرية خارجي).
الشخص المعنيالفرد الذي تخصه المعطيات: زبون، أجير، مرشح للتوظيف، زائر، مشترك، عميل محتمل.

التمييز بين المسؤول والمعالج يحدد الالتزامات: على المسؤول أن يصرح ويُعلم ويُؤمن؛ وعلى المعالج أن يوقع عقد معالجة (DPA) وألا يتصرف إلا وفق التعليمات.

3. الالتزامات الأساسية في ثماني نقاط

3.1 التصريح المسبق — الالتزام المركزي

ينظم القانون 09-08 الامتثال حول التزام التصريح المسبق. وبشكل ملموس، يجب على المنظمة قبل الشروع في أي معالجة للمعطيات الشخصية أن تصرح بهذه المعالجة لدى اللجنة الوطنية. ويُهيكل تصنيف 2025 هذه الآلية حول الاستمارات التالية:

  • F211 — التصريح العادي: الحالة العامة. أغلبية عمليات المعالجة الاعتيادية (الموارد البشرية، الزبناء، الموردون، المراقبة بالفيديو غير الحساسة).
  • F214 — التصريح المبسط: للحالات المرخص لها مسبقاً بقرار إطار من اللجنة الوطنية (الفئات المتكررة التي لا تنطوي على خطر خاص).
  • F112 — الإذن المسبق: لعمليات المعالجة الحساسة (الصحة، البيومتريا، المخالفات، الربط البيني للملفات). كان يُشار إليها سابقاً بـ F212 في بعض الوثائق التحضيرية.
  • F113 — الإذن المبسط: نظام مخفف للإذن خاص بعمليات المعالجة التي يشملها قرار إطار مخصص.
  • F118 — النقل الدولي للبيانات: لنقل المعطيات خارج المغرب نحو بلد لا يضمن مستوى حماية ملائماً. كان يُشار إليها سابقاً بـ F214 في بعض الوثائق التحضيرية.

كل تطور جوهري لملف سبق إيداعه (غاية جديدة، معالج جديد، فئة بيانات جديدة) تتم معالجته عبر إعادة إيداع مع ذكر طابع «تعديلي»؛ وقد تطورت الكيفيات الدقيقة وما زالت تتطور — وقد تم تصحيح هذه النقطة في النسخة الحالية من الدليل لتفادي الاستمرار في استعمال التسمية القديمة «F112 تعديلية».

في ختام المعالجة، تسلم اللجنة الوطنية وصل اللجنة الوطنية الذي يجسد الامتثال الإداري ويجب عرضه علنياً (عملياً، في تذييل الموقع وفي سياسة الخصوصية).

3.2 الإعلام المسبق — المادة 5 من القانون 09-08

يجب أن يُعلم كل شخص معني، قبل الجمع أو في وقته، بالعناصر التالية:

  • هوية المسؤول عن المعالجة
  • الغاية المتوخاة
  • الطابع الإجباري أو الاختياري للأجوبة
  • المرسل إليهم المعطيات
  • وجود حقوق الولوج والتصحيح والاعتراض
  • عند الاقتضاء، عمليات النقل المزمعة

يتجسد هذا الإعلام على الموقع الإلكتروني من خلال سياسة الخصوصية (صفحة مخصصة) ومن خلال إشعارات وجيزة عند نقطة الجمع (استمارة، شريط، شاشة إنشاء حساب). ولا يكفي النسخ الحرفي للائحة العامة الأوروبية: يجب أن تحيل الإشعارات على القانون 09-08 وعلى اللجنة الوطنية، لا على CNIL أو EDPB فقط.

3.3 الرضى والأسس القانونية للمشروعية

يكون الرضى مطلوباً عندما لا يكون للمعالجة أساس آخر (مصلحة مشروعة، التزام قانوني، تنفيذ عقد). ولكي يكون صحيحاً، يجب أن يكون:

  • حراً: دون خانات مؤشرة مسبقاً، ودون إكراه تعسفي
  • محدداً: رضى لكل غاية على حدة، لا رضى «شامل»
  • مستنيراً: مسبوقاً بإعلام كامل
  • صريحاً: فعل إيجابي لا لبس فيه
  • قابلاً للسحب: بنفس سهولة منحه

أما ملفات تعريف الارتباط للتتبع، فالرضى المسبق إلزامي: لا يجب أن يُشغَّل أي نص خارجي قبل الحصول على الرضى، وغياب الجواب لا يعد رضى (لا يوجد «رضى ضمني»).

3.4 الأمن — المادة 23

تفرض المادة 23 من القانون 09-08 على المسؤول عن المعالجة اتخاذ كل الاحتياطات اللازمة لضمان أمن المعطيات ومنع تحريفها أو إتلافها أو ولوج أطراف ثالثة غير مأذون لها إليها.

وعملياً، يستلزم ذلك:

  • التشفير عبر TLS على كل الصفحات التي تجمع المعطيات (TLS 1.2 كحد أدنى، TLS 1.3 موصى به)
  • HSTS preload لمنع أي تراجع من HTTPS إلى HTTP
  • رؤوس HTTP أمنية صارمة: Content-Security-Policy وX-Frame-Options وPermissions-Policy
  • تدبير الولوج: حسابات إسمية، مبدأ الحد الأدنى من الامتيازات، المصادقة متعددة العوامل (MFA) للولوجات الإدارية
  • التسجيل: آثار قابلة للتدقيق للولوج إلى المعطيات الحساسة
  • النسخ الاحتياطية: منتظمة، مشفرة، ومختبرة (اختبار استعادة سنوي على الأقل)
  • مسطرة تدبير الحوادث: من يُخطر من، وفي أي أجل، نحو اللجنة الوطنية

موقع بدون HSTS وملفات تعريف ارتباط للتتبع تُشغَّل قبل الرضى ليس فقط «غير مثالي»: بل هو يخرق المادة 23.

3.5 حقوق الأشخاص — المواد من 7 إلى 11

يتمتع كل شخص معني بأربعة حقوق قابلة للاحتجاج:

الحقالمادةأجل الجواب
الولوج: الحصول على تأكيد ونسخة من المعطياتالمادة 7«أجل معقول» — عملياً: 30 يوماً
التصحيح: تصحيح معطى غير صحيحالمادة 8أجل معقول، مجاناً
الاعتراض: رفض المعالجة لسبب مشروعالمادة 9يوقف المعالجة بعد الفحص
الحذف: محو المعطيات التي لم تعد تحترم القانونالمادة 11أجل معقول

يجب أن تتوفر المنظمة على قناة لتلقي الطلبات (بريد إلكتروني مخصص، استمارة، مراسلة) مذكورة بوضوح في سياسة الخصوصية. ويجب تتبع الطلبات (من، متى، المعالجة المطبقة) — وهو أول ما يطلبه مراقب اللجنة الوطنية.

3.6 المعالجة من الباطن — المادتان 21 و22

كل معالج يعالج المعطيات لحسابك (مستضيف، SaaS، مزود موارد بشرية، مدبر معلوماتي) يجب أن يخضع لـ:

  1. عقد مكتوب يحدد الالتزامات في مجال حماية البيانات (DPA — Data Processing Agreement)
  2. ضمانات كافية بخصوص التدابير الأمنية التقنية والتنظيمية
  3. حظر استعمال المعطيات خارج تعليمات المسؤول

عملياً، يجب أن تتضمن علاقتك التعاقدية مع Google Workspace وMicrosoft 365 وAWS وSalesforce وHubSpot عقد DPA موقعاً. ويقترح أغلب الناشرين نموذجاً معيارياً قابلاً للتحميل — لكن يبقى من الضروري التعاقد عليه فعلياً.

3.7 النقل الدولي للبيانات — المواد من 43 إلى 47

يخضع نقل المعطيات خارج المغرب للإذن المسبق من اللجنة الوطنية عبر F118، باستثناء حالتين:

  • البلد المستقبل يضمن مستوى حماية ملائماً معترفاً به من طرف اللجنة الوطنية (لائحة محدودة)
  • النقل مؤطر بـ ضمانات تعاقدية كافية (الشروط التعاقدية النموذجية — SCC — أو القواعد الداخلية للشركات)

في 2026، الاستعمال الواسع لـ SaaS الأمريكية (Google وMicrosoft وSlack وSalesforce وHubSpot وNotion، إلخ) يستلزم إما إيداع F118 لهذه العمليات وإما توثيق SCC. وهذا واحد من أكثر حالات عدم الامتثال شيوعاً في السوق المغربية: 80% من المنظمات تستعمل Google Workspace دون إيداع F118 ودون توثيق SCC.

3.8 مدة الحفظ والتقليل من المعطيات

يجب ألا تُحفظ المعطيات إلا خلال المدة الضرورية للغاية المتوخاة. وعند الانتهاء، يجب حذفها أو جعلها مجهولة الهوية. ويجب أن تكون المدة:

  • محددة حسب الغاية (مثلاً: 24 شهراً للعملاء المحتملين، مدة العقد + الالتزامات المحاسبية للزبناء)
  • موثقة في سجل عمليات المعالجة
  • مراجعة دورياً (يُوصى بحذف آلي)

4. العقوبات — لا تستهن بها

4.1 العقوبات الإدارية

يمكن للجنة الوطنية أن تصدر:

  • إنذار (تذكير بالقانون)
  • إنذار مقترن بأجل للامتثال (عموماً من 3 إلى 6 أشهر)
  • سحب الإذن بالنسبة للمعالجات الخاضعة لـ F112
  • نشر العقوبات، مما يضيف بعداً ضاراً بالسمعة

4.2 العقوبات الجنائية

ينص القانون 09-08 على عقوبات جنائية: عقوبات سجنية وغرامات على الإخلالات الجسيمة (الجمع الاحتيالي، رفض الحقوق، عدم التصريح، الإفشاء غير المشروع). والعتبات الدقيقة قد تخضع للتحيين بالإصلاح المنتظر؛ لكن المبدأ يبقى: لا يتعلق الأمر بمجرد غرامة إدارية.

4.3 العقوبات الاقتصادية والمرتبطة بالسمعة

إلى جانب الجانب القانوني، يعرض غياب الامتثال إلى عواقب اقتصادية متزايدة الأهمية:

  • طلبات العروض العمومية والحسابات الكبرى: أصبح الامتثال للجنة الوطنية معياراً مانعاً
  • الشراكات مع المجموعات الأوروبية: اشتراط معيار متوافق مع اللائحة العامة لحماية البيانات (GDPR)
  • العناية الواجبة في عمليات الاندماج والاستحواذ M&A: غياب الامتثال نقطة احتكاك ممنهجة
  • سمعة الزبناء: النشر من طرف اللجنة الوطنية، الصحافة المتخصصة، الإبلاغات على الإنترنت

5. مقارنة القانون 09-08 مع اللائحة العامة لحماية البيانات (GDPR)

البعدالقانون 09-08 (المغرب)GDPR (الاتحاد الأوروبي)
التاريخ2009 (سارٍ منذ 2009)2018 (سارٍ منذ 2018)
المنطقتصريح مسبق إلزاميسجل داخلي + قابلية للمساءلة
DPOلا التزام عامإلزامي للمعالجات الواسعة / الحساسة
العقوبات الماليةغرامات معتدلة (إصلاح منتظر)تصل إلى 4% من رقم المعاملات العالمي
التبليغ عن خرقلا التزام صريح (موصى به)72 ساعة نحو السلطة + الأشخاص المعنيين
النقل الدولي للبياناتF118 أو SCCقرارات الملاءمة + SCC + BCR
الحقوقالولوج، التصحيح، الاعتراض، الحذف+ حق النقل، الحق في النسيان، الاعتراض على التنميط
السلطةاللجنة الوطنية (الرباط)CNIL (فرنسا)، DPC (إيرلندا)، إلخ.

مقارنة مفصلة مادة بمادة ←

6. كيف تصبح ممتثلاً؟ المسار في سبع خطوات

الخطوة 1 — التدقيق الأولي

رسم خريطة لعمليات المعالجة القائمة والمعالجين وتدفقات البيانات. بدون هذه القاعدة، يكون كل إجراء لاحق مفككاً. يستغرق تدقيق شامل من 3 إلى 6 أسابيع لمقاولة صغرى أو متوسطة، وقد يصل إلى 3 أشهر لمجموعة متعددة الكيانات.

الخطوة 2 — تكييف الاستمارات

لكل عملية معالجة تم رسم خريطتها، تحديد الاستمارة الملائمة: F211 أو F214 أو F112 أو F113 أو F118. هذا التكييف يحدد مدة المعالجة وخطر الخطأ. الخطأ الأكثر شيوعاً: التصريح بمعالجة حساسة عبر F211 في حين تستوجب F112 (الإذن المسبق).

الخطوة 3 — إعداد وإيداع الإجراءات الشكلية

تحرير الاستمارات والملاحق (بطاقات المعالجة، التدابير الأمنية) والوثائق الداعمة. الإيداع لدى اللجنة الوطنية والاحتفاظ بإشعار التوصل الذي يُعد دليلاً على بذل العناية الواجبة خلال فترة المعالجة.

الخطوة 4 — التوثيق والسياسات

  • سياسة خصوصية تحيل على القانون 09-08
  • البيانات القانونية
  • سياسة ملفات تعريف الارتباط مع حجب وقت التشغيل
  • سجل عمليات المعالجة الداخلي
  • نماذج DPA للمعالجين
  • مسطرة لتدبير الحقوق

الخطوة 5 — التحصين التقني

  • HSTS preload، CSP صارم، رؤوس HTTP أمنية كاملة
  • ضبط TLS، SPF/DKIM/DMARC
  • شريط ملفات تعريف الارتباط ممتثل مع حجب فعلي وقت التشغيل
  • security.txt (RFC 9116)

الخطوة 6 — تكوين الفرق

توعية فرق التسويق والموارد البشرية والدعم والمعلوميات والإدارة. سياسة مثالية مقرونة بفريق لا يعلم أن إرسال جدول Excel عبر WhatsApp إلى شريك يشكل تسريباً، ليست ممتثلة.

الخطوة 7 — الحكامة المستمرة

تعيين مسؤول حماية البيانات DPO (داخلي أو خارجي)، مراجعة سنوية، إعادة إيداع تعديلية عند كل تطور جوهري لتصريح أو إذن قائم، تمرين سنوي لاختبار المساطر.

7. حالات الاستعمال النموذجية بالمغرب

موقع تجارة إلكترونية

كحد أدنى: F211 لملف الزبناء، F211 للعملاء المحتملين/النشرة البريدية، F118 إذا تم الأداء عبر بوابة دولية، F112 في حالة التنميط أو التنقيط. زيادة على التوثيق وشريط ملفات تعريف الارتباط وعقد DPA مع المستضيف ومعالج الأداء.

المراقبة بالفيديو للمحلات

F211 للمراقبة البسيطة للولوج، F112 في حالة التعرف على الوجه أو العد البيومتري. إشعار مرئي للأشخاص المصورين، مدة حفظ الصور (عادة 30 يوماً كحد أقصى، ما لم يقع حادث).

ملف الموارد البشرية

F211 لملف الأجراء، F112 في حالة معطيات صحية (طب الشغل)، F118 إذا كان نظام تدبير الموارد البشرية SIRH مستضافاً خارج المغرب (Workday وBambooHR، إلخ). إشعار خاص لتنقيط الأداء أو سياسة BYOD.

أدوات SaaS الأمريكية (Google Workspace وMicrosoft 365)

F118 إلزامية أو SCC موثقة. هذا هو الإخلال الأكثر انتشاراً في 2026: الاستعمال واسع والتصريح نادر. مراقبة من اللجنة الوطنية تكشف هذا الإخلال شبه مضمونة في الهياكل الكبرى.

8. موارد

الامتثال للجنة الوطنية لا يختزل في استمارة تُودَع. إنه انضباط تنظيمي تغذيه خريطة محدثة، وتوثيق محلي، وبنية تحتية تقنية محصنة، وفريق واعٍ. كلفة الدخول معتدلة، وكلفة عدم الامتثال تتفاقم سنة بعد سنة — خاصة بالنسبة للهياكل المعرضة للأسواق الدولية أو المنظمة.

مقاربتنا: زمالية، صامتة، منجزة. نقول لك في الخصوصية ما لا يسير على ما يرام، ونسلمك تقريراً قابلاً للتنفيذ، ونساعدك على التنفيذ — أو ننسحب إن كنت تفضل المضي قدماً وحدك.

ياسمين ر. — خبيرة في حماية البيانات الشخصية، مساهِمة في DataSouv. مقال راجعته وصادق عليه أمين رايس، المؤسس.

أسئلة شائعة

ما الفرق بين اللجنة الوطنية والقانون 09-08؟

القانون 09-08 هو النص التشريعي المغربي المتعلق بحماية المعطيات ذات الطابع الشخصي، الصادر سنة 2009. أما اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي (CNDP) فهي السلطة الإدارية المستقلة المكلفة بتطبيقه. حين يقول موقع إنه «ممتثل للجنة الوطنية»، فهو يعني «يحترم القانون 09-08 ومرسومه التطبيقي 2-09-165، وقد أنجز الإجراءات الشكلية لدى اللجنة».

هل يجب التصريح بموقعي للجنة الوطنية؟

نعم، بمجرد أن يجمع الموقع أدنى قدر من المعطيات الشخصية: استمارة اتصال، حساب مستخدم، ملف تعريف ارتباط يحدد هوية زائر، نشرة بريدية، تعليق. التصريح المسبق هو الالتزام المركزي للقانون 09-08، باستثناء حالات إعفاء نادرة. أما الموقع التعريفي المحض الذي لا يجمع أي معطيات، فلا يستوجب تصريحاً — وهذه حالة استثنائية في 2026.

كم من الوقت يستغرق الحصول على وصل اللجنة الوطنية؟

نظرياً، تبت اللجنة في الملفات داخل آجال تنظيمية محددة. عملياً، تتراوح المعالجة بين 6 أسابيع و6 أشهر حسب الاستمارة (F211 أسرع من F112 المتعلقة بالإذن المسبق) وحسب عبء عمل اللجنة. ويُعد إشعار التوصل بالإيداع دليلاً على بذل العناية الواجبة خلال فترة المعالجة، ويسمح باستغلال المعالجة بحسن نية.

هل سيتم إصلاح القانون 09-08؟

يُنتظر إصلاح القانون منذ سنوات لتقريبه من اللائحة العامة الأوروبية لحماية البيانات (GDPR)، لا سيما فيما يخص العقوبات، والإبلاغ الإلزامي عن خروقات البيانات، وتعريف مسؤول حماية البيانات (DPO). لا يوجد أي تاريخ رسمي حاسم حتى الآن. نصيحتنا: الامتثال للإطار الحالي مع إدماج الممارسات الفضلى المتوافقة مع اللائحة الأوروبية منذ الآن.

ماذا يحدث في حالة المراقبة من طرف اللجنة الوطنية؟

يمكن للجنة الوطنية أن تطلب الإدلاء بالوثائق (سجل عمليات المعالجة، التصاريح، عقود المعالجين)، وأن تجري مراقبات ميدانية، أو تفتح تحقيقات بناءً على شكاية. تتراوح العقوبات بين الإنذار البسيط والإنذار المقترن بأجل للامتثال، وصولاً إلى سحب الإذن، وقد تُرفق بعقوبات جنائية (السجن + الغرامات) نص عليها القانون 09-08.

للتعمق أكثر

مقالات ذات صلة

دليل

المادة 23 من القانون 09-08: الأمن الإلزامي

تفرض المادة 23 جميع الاحتياطات المفيدة: TLS وHSTS وCSP ورؤوس HTTP وإدارة الوصول والتسجيل الزمني والنسخ الاحتياطية والإخطار بالحوادث.
دليل

شريط ملفات تعريف الارتباط (cookies) لدى اللجنة الوطنية — الامتثال الحقيقي

حجب أدوات التتبع في وقت التشغيل، تفصيل حسب الفئة، إثبات مؤرشف، انسحاب بسيط. ما الذي يجتاز وما الذي لا يجتاز تدقيق اللجنة الوطنية بالمغرب.
دليل

مفوض حماية البيانات في المغرب: الالتزام، المؤهلات، التعيين

مفوض حماية البيانات (DPO) ليس إلزاميًا بالمعنى الصارم للقانون 09-08، لكنه أصبح أمرًا لا مفر منه. المؤهلات، الداخلي مقابل الخارجي، أخطاء الحوكمة التي ينبغي تجنبها في المغرب.
وضع موضع التطبيق

تدقيق موقعي الآن

نتيجة فورية للامتثال للجنة الوطنية وأمن الموقع واللائحة العامة الأوروبية في أقل من دقيقة، دون تسجيل. مكمل طبيعي لقراءة هذا الدليل.

إطلاق التدقيق المجانيالتحدث مع Amine Rais