مفوض حماية البيانات في المغرب: الالتزام، المؤهلات، التعيين
مفوض حماية البيانات ليس إلزاميًا في القانون 09-08 الحالي. لكن بين غياب الالتزام الرسمي والفائدة التشغيلية الفعلية، توجد هوة لا تتأخر المنظمات الجادة في عبورها.
عند تقديم وظيفة مفوض حماية البيانات لإدارة غير مألوفة بالموضوع، يأتي رد الفعل الأكثر شيوعًا في جملة واحدة: «هل هي إلزامية أم لا؟». الجواب، كما هو الحال غالبًا في مسائل الامتثال المغربي، يتطلب فارقين دقيقين. لا جواب ثنائي بنعم أو لا. مفوض حماية البيانات ليس إلزاميًا قانونيًا بالمعنى الصارم للقانون 09-08 الحالي، لكن الالتزام يأتي عبر طرق أخرى أكثر مما يُظَن، وحتى عندما لا يأتي، تنتهي الفائدة التشغيلية بفرض نفسها. المنظمات التي تأخذ امتثالها على محمل الجد تُعيِّن مفوض حماية البيانات. أما تلك التي تقاوم فتصل إلى ذلك خلال سنتين أو ثلاث، غالبًا بعد حادث.
الالتزام القانوني، النسخة المختصرة
لا يتضمن القانون 09-08 حكمًا مكافئًا للمادة 37 من اللائحة العامة لحماية البيانات الأوروبية، التي تجعل تعيين مفوض حماية البيانات إلزاميًا في ثلاث حالات (سلطة عمومية، متابعة منتظمة وممنهجة على نطاق واسع، معالجة بيانات حساسة على نطاق واسع). هذا اختلاف هيكلي بين الإطارين، يُتوقع تجاوزه من خلال إصلاح القانون 09-08 الذي يُعلَن عنه منذ سنوات عديدة.
في المقابل، يُطبَّق التزام اللائحة العامة لحماية البيانات بقوة القانون في عدة حالات تخص السوق المغربي مباشرة:
كل فرع مغربي لمجموعة أوروبية عيَّنت مجموعتُه مفوض حماية بيانات، ينبغي أن يوفر لهذا المفوض مراسلًا محليًا. حسب هيكل المجموعة، قد يُوصف هذا المراسل بأنه مفوض حماية بيانات محلي كامل الصلاحيات (مع كامل التزامات GDPR) أو حلقة وصل تشغيلية. في جميع الأحوال، يلزم وجود شخص معيَّن، مؤهل، يمكن الوصول إليه.
كل منظمة مغربية تقدم سلعًا أو خدمات لأشخاص يقيمون في الاتحاد الأوروبي تدخل في نطاق التطبيق الإقليمي لـ GDPR (المادة 3). وهذا هو الحال نموذجيًا لمواقع التجارة الإلكترونية التي تشحن إلى أوروبا، ومنصات SaaS المغربية ذات العملاء الأوروبيين، ومكاتب الخدمات التي تعمل لصالح منظمات في الاتحاد الأوروبي. وإذا استُوفيت معايير العتبة أيضًا، يصبح مفوض حماية البيانات إلزاميًا.
أما المنظمات التي لا تندرج تحت أي من الفرضيات السابقة، فإن مفوض حماية البيانات يظل ممارسة جيدة. المداولات المنشورة من قبل اللجنة الوطنية (cndp.ma) تقترح ذلك بانتظام للهياكل الأكثر حساسية. كما أنه إشارة نضج تُقدِّرها الحسابات الكبرى والمدققون.
المؤهل الذي لا يجده أحد من المرة الأولى
يجمع مفوض حماية البيانات الفعال بين أربعة أبعاد لا تكاد تجتمع لدى مرشح مغربي واحد:
كفاءة قانونية أولًا. معرفة دقيقة بالقانون 09-08 ومرسومه 2-09-165، معرفة تشغيلية بـ GDPR، قراءة منتظمة لمداولات اللجنة الوطنية، القدرة على توصيف معالجة (F211، F112، F118 أو لا شيء). هذه الكفاءة تُبنى، لكن منحنى تعلمها بطيء — عادة بين اثني عشر وأربعة وعشرين شهرًا من الممارسة قبل الاستقلالية.
كفاءة تقنية ثانيًا. يجب على مفوض حماية البيانات أن يفهم نظم المعلومات التي يصادفها — CMS، CRM، ERP، SaaS، البنية التحتية السحابية، معماريات التطبيقات، مفاهيم أمن الشبكات والتطبيقات. لا حاجة لأن يكون مهندسًا، لكن لا ينبغي أن يكون عاجزًا أمام مدير نظم المعلومات. هذه هي الكفاءة التي تُهمَل غالبًا عند تعيين قانوني خالص، ولهذا ينتهي ثنائي مدير نظم المعلومات/مفوض حماية البيانات إلى العمل بالتوازي لا بالتكامل.
استقلالية هيكلية ثالثًا. يجب أن يتمكن مفوض حماية البيانات من رفع الأمور إلى الإدارة دون وسيط، ولا يتلقى تعليمات بشأن مضمون آرائه، ولا يمكن معاقبته على ممارسة مهمته. هذه المبادئ مكرسة في المادة 38 من GDPR ومتبناة فعليًا على نطاق واسع في فقه اللجنة الوطنية. عمليًا، يستبعد ذلك إسناد الوظيفة إلى موظف يتوقف أداؤه على رقم أعمال المعالجات التي ينبغي أن يكون قادرًا على تدقيقها.
التوفر أخيرًا. يمكن الوصول إليه في آجال معقولة (من أربع وعشرين إلى ثماني وأربعين ساعة) من قبل الأشخاص المعنيين ومن قبل اللجنة الوطنية. حاضر في اللحظات المفصلية: التدقيقات، إطلاق منتج، حادث، رقابة. هذا البعد أكثر تكتيكية لكنه يُهيكل كل شيء. مفوض حماية بيانات لا يمكن الوصول إليه أسوأ من غياب مفوض حماية البيانات — فهو إشارة حوكمة فاشلة فوق التقصير التشغيلي.
خطأ الحوكمة الأكثر شيوعًا
عندما تقرر إدارة تعيين مفوض حماية بيانات دون خبرة سابقة بالموضوع، إليكم ما يحدث إحصائيًا في أغلب الحالات: يُعيَّن القانوني الداخلي، أو مدير نظم المعلومات، أحيانًا مدير الموارد البشرية، بالتراكم مع وظيفته الأساسية. إنه سريع، قليل التكلفة، مطمئن. وهو أيضًا تقريبًا دائمًا إشكالي على المدى الطويل.
القانوني الداخلي يملك الكفاءة القانونية لكن في الغالب لا يملك الكفاءة التقنية. يجد نفسه في موقف تدقيق أمام مدير نظم معلومات لا يستطيع تحديه على المستوى الجوهري. القرارات التقنية ذات الأهمية تمر فوقه. وعندما تأتي رقابة، يكون تقريره التواجهي ضعيفًا.
مدير نظم المعلومات يملك الكفاءة التقنية لكن في الغالب لا يملك الكفاءة القانونية الدقيقة. والأهم، أنه في تضارب مصالح هيكلي: ينبغي أن يكون قادرًا على تدقيق خياراته الخاصة. عندما يطرح معالج مؤطر بشكل سيئ مشكلة، يجب أن يكون قادرًا على الإبلاغ عنه — بما في ذلك إذا كان هو من اختاره. يحدث ذلك، لكنه يُولِّد عبئًا نفسيًا وسياسيًا ليس بالهيِّن.
مدير الموارد البشرية حالة خاصة. غالبًا ما يتمتع بأفضل ظروف الاستقلالية وحساسية جيدة تجاه البيانات الشخصية (طبيعة الموارد البشرية تفرض ذلك). لكن عبء عمله التشغيلي لا يترك له عمومًا المجال ليصبح مفوض حماية بيانات كفؤًا خارج نطاق الموارد البشرية.
البديل الذي يعمل بشكل أفضل هو فصل الوظيفة. إما تعيين موظف مكرس، وهو أمر لا يصبح قابلًا للتطبيق إلا انطلاقًا من حجم معين (عادةً أكثر من مائة موظف أو في قطاع منظم). أو الاستعانة بمصادر خارجية، مما يجلب الكفاءة الفورية، والاستقلالية بحكم البنية، وتكلفة قابلة للتوقع.
داخلي أم خارجي — المفاضلة في أربعة أسئلة
نادرًا ما تصدر المفاضلات الجيدة عن نموذج نظري. إليكم الأسئلة الأربعة الملموسة التي أطرحها على الإدارات المترددة:
كم عدد المعالجات التي تشغّلها منظمتكم؟ دون خمس معالجات بسيطة، تكون الاستعانة بمصادر خارجية دائمًا تقريبًا أكثر فاعلية. أما عند تجاوز عشرين معالجة أو في حالة معالجات حساسة، تكون الوظيفة غنية بما يكفي لتستحق موظفًا داخليًا مكرسًا — أو خارجيًا بوقت كبير.
ما هو إيقاع تطوير المنتج لديكم؟ منظمة تطلق منتجًا أو ميزة كل فصل تحتاج إلى مفوض حماية بيانات منخرط مبكرًا جدًا في دورة التصميم (الخصوصية منذ التصميم، المادة 25 من GDPR). إذا كنتم تكررون بسرعة، فأنتم بحاجة إلى القرب؛ إما داخلي، أو خارجي بتوفر معزز.
هل أنتم خاضعون لـ GDPR بقوة القانون؟ إذا كان الأمر كذلك، وكانت رهانات GDPR لديكم استراتيجية (شراكات مع الاتحاد الأوروبي، عملاء مؤسسيون أوروبيون، عمليات اندماج واستحواذ مرتقبة)، فإن بُعد الحوكمة الخارجية يطمئن أكثر من بُعد الحوكمة الداخلية. مفوض حماية بيانات خارجي موثَّق بعقد واضح يكون أكثر مصداقية لدى مدقق طرف ثالث من مفوض حماية بيانات داخلي معيَّن بالتراكم.
هل لديكم الكفاءات داخليًا؟ سؤال بسيط لكنه يُستهان به. إذا لم يكن لديكم أحد بالأبعاد الأربعة للمؤهل، فإن الاستعانة بمصادر خارجية هي الخيار البراغماتي. يمكنكم دائمًا الاستيعاب الداخلي لاحقًا عند ظهور موظف كفء.
المهمة الخارجية — كيف تجري
لتوضيح ما تشمله فعليًا مهمة مفوض حماية بيانات خارجي، إليكم ما يُسلَّم في صيغة قياسية لاثني عشر شهرًا:
يتكون الشهر صفر من تأطير معمَّق: رسم الخرائط الأولي للمعالجات، استعراض الإجراءات لدى اللجنة الوطنية، مراجعة عقود المعالجين، تحديد المخاطر الكبرى. هذه غالبًا الخطوة التي تُظهِر أكبر قدر من المفاجآت.
تتناوب الأشهر التالية بين الروتين والأحداث. الروتين: تحديث السجل، الرصد التنظيمي، دعم الفرق في الأسئلة الظرفية، تقرير شهري للإدارة. الأحداث: تدقيق سنوي معمَّق، معالجة طلبات ممارسة الحقوق، مرافقة مشروع منتج حساس، إدارة أي حادث محتمل، نقطة مراجعة فصلية مع لجنة الإدارة.
في نهاية السنة تتشكَّل حصيلة سنوية تصبح هي نفسها مُنتَجًا قابلًا للاحتجاج: أين تقف المنظمة من حيث امتثالها، ما هي مظاهر التقدم، ما هي الأوراش المتبقية، ما هو المسار للسنة التالية. هذه هي الوثيقة التي سيُقدِّر مشترٍ أو شريك أو مراقب وجودها في ملف الحوكمة.
للذهاب أبعد
- المادة 37 من GDPR — تعيين مفوض حماية البيانات
- الموقع الرسمي للجنة الوطنية
- CNIL — وظيفة مفوض حماية البيانات للفقه الأوروبي المقارن
- EDPB — توجيهات مفوض حماية البيانات
- الدليل الركيزي — الامتثال للجنة الوطنية بالمغرب 2026
- خدمة — تعيين مفوض حماية بيانات داخلي أو خارجي
في الصحافة الاقتصادية (Médias24، L'Économiste، TelQuel)، يبرز بانتظام موضوع السيادة الرقمية المغربية ومهننة الوظائف المرتبطة بها. مفوض حماية البيانات أحد علاماتها: الانتقال من امتثال مفروض إلى حوكمة بيانات منظمة. هذا هو التطور الطبيعي للمنظمات الناضجة، وهو أيضًا ميزة تنافسية على المدى الطويل — متحفظة لكن حقيقية — أمام المنافسين الذين يبقون في وضع حِرَفي بشأن هذه المواضيع.
نادية ت. — مستشارة الامتثال، مساهِمة في DataSouv. أعاد قراءة المقال والتحقق منه أمين رايس، المؤسس.
أسئلة شائعة
هل تعيين مفوض حماية البيانات إلزامي في المغرب؟
ليس بالمعنى الصارم للقانون 09-08 الحالي، الذي لا يُنشئ التزامًا عامًا مماثلًا للمادة 37 من اللائحة العامة لحماية البيانات (GDPR). في المقابل، بمجرد أن تكون منظمة مغربية معرضة لـ GDPR (فرع مجموعة أوروبية، معالجة واسعة النطاق لبيانات أوروبية، متابعة منتظمة وممنهجة لأشخاص في الاتحاد الأوروبي)، يُطبَّق التزام GDPR بقوة القانون. وفي جميع الأحوال، يصبح مفوض حماية البيانات أكثر أدوات الحوكمة فعالية لقيادة الامتثال على المدى الطويل.
هل يمكن لمدير نظم المعلومات الجمع بين منصبه ومهمة مفوض حماية البيانات؟
ممكن لكن يجب التعامل معه بحذر. يجب أن يكون مفوض حماية البيانات قادرًا على تدقيق قراراته الخاصة دون تضارب المصالح. مدير نظم المعلومات الذي يكون أيضًا مفوض حماية البيانات يجب أن يكون قادرًا على الإبلاغ للإدارة عن عدم امتثال في نظامه الخاص، وهو أمر غير مريح. الفقه الأوروبي، الذي تتماشى معه اللجنة الوطنية فعليًا، يعتبر الجمع بين وظيفة مفوض حماية البيانات ووظيفة اتخاذ القرار أمرًا إشكاليًا هيكليًا. عندما يكون ذلك ممكنًا، يُتجنَّب.
ما هو المؤهل المثالي لمفوض حماية البيانات؟
أربعة أبعاد: الكفاءة القانونية (القانون 09-08، GDPR، فقه اللجنة الوطنية)، الكفاءة التقنية (نظم المعلومات الشائعة، أمن التطبيقات)، الاستقلالية الهيكلية تجاه الوظائف التشغيلية، والتوفر. لا يمكن التفاوض على أي منها، وكلها نادرة مجتمعة. لهذا السبب فإن مفوض حماية البيانات الخارجي غالبًا ما يكون الحل الأكثر إتاحة للمنظمات متوسطة الحجم.
كم تبلغ تكلفة مفوض حماية بيانات خارجي في المغرب؟
على سبيل الإرشاد، بين 2500 و7000 درهم مغربي شهريًا حسب حجم المنظمة وكثافة المهمة. التزام سنوي نموذجي. التكلفة قابلة للتوقع، والخبرة فورية، والاستقلالية هيكلية. بالنسبة للمنظمات التي تضم أكثر من مائة شخص أو العاملة في قطاع منظم، يصبح مفوض حماية البيانات الداخلي المؤهل ذا صلة بعد 12-18 شهرًا.
هل يمكن البدء بمهمة قصيرة؟
بل يُوصى بذلك للمنظمات التي تكتشف هذه الوظيفة. صيغة لثلاثة أشهر تتيح إنجاز رسم الخرائط الأولي، ومعالجة الطلبات الأولى لممارسة الحقوق، ووضع سجل المعالجات ومعايرة المسار. إذا استمرت المهمة بصيغة خارجية، تصبح التكلفة الهامشية تكلفة روتين راسخ. وإذا اختارت المنظمة لاحقًا الاستيعاب الداخلي، فإن مفوض حماية البيانات الداخلي يرث قاعدة مبنية مسبقًا.