النموذج F118 والنقل الدولي للبيانات لدى اللجنة الوطنية
إذا كنت تستعمل Google Workspace أو Microsoft 365 دون نموذج F118 أو بنود تعاقدية نموذجية موثقة، فأنت في وضعية عدم مطابقة. شأن نحو تسع من كل عشر مقاولات صغرى ومتوسطة مغربية.
توضيح بخصوص التسمية. تستعمل اللجنة الوطنية لمراقبة حماية المعطيات ذات الطابع الشخصي حاليا الرمز F118 للنموذج المتعلق بالنقل الدولي للبيانات (الذي كان يشار إليه سابقا بالرمز F214 في بعض الوثائق التحضيرية، وهو رمز يدل اليوم على التصريح المبسط). تم تحديث محتوى هذا الدليل بتاريخ 12 ماي 2026 ليعكس التسمية المعمول بها على cndp.ma.
عندما نشرع في تدقيق داخل مقاولة صغرى أو متوسطة مغربية، هناك سؤال يحدث دائما الأثر نفسه: «هل لديكم نموذج F118 من أجل Google Workspace؟» سبع مرات من أصل عشر، نتلقى صمتا متسائلا. مرة من أصل عشر، نسمع «وقعنا شيئا ما عند التسجيل، لا أدري أين هو». مرة من أصل عشر، يدرك الفريق أن هناك ما يجب القيام به ولكنه لم يعرف من أين يبدأ. مرة من أصل عشر، يكون الملف على ما يرام. هذا هو التقدير التقريبي لكنه الواقعي لنضج السوق في 2026، وهو الزاوية الأسرع التي يستطيع منها تدقيق اللجنة الوطنية إنتاج قيمة.
الرهان في فقرتين
القانون رقم 09-08، في فصوله من 43 إلى 47، يخضع لترخيص قبلي من اللجنة كل نقل لبيانات شخصية خارج المغرب نحو دولة لا تتوفر على مستوى حماية كاف. ينظم المرسوم 2-09-165 المسطرة عبر النموذج F118. يوجد بابان للخروج: إما أن تستفيد الدولة المستقبلة من اعتراف اللجنة الوطنية بكفايتها (لائحة محدودة جدا للدول ذات الحماية الكافية في 2026)، وإما أن يكون النقل مؤطرا بـضمانات تعاقدية كافية — وفي العادة بنود تعاقدية نموذجية (SCC) متماشية مع تلك التي تم اعتمادها من قبل السلطات الأوروبية.
غير أن الاستعمال اليومي لخدمات SaaS الأمريكية أصبح أمرا لا مفر منه: Google Workspace للأعمال المكتبية، Microsoft 365 للأمر نفسه، Salesforce أو HubSpot لإدارة العلاقة مع العملاء، Slack للتواصل الداخلي، Notion أو Asana لتدبير المشاريع، Zendesk للدعم، Stripe أو بوابات الأداء الدولية للفوترة. كل من هذه الأدوات يقوم بنقل بيانات نحو الولايات المتحدة الأمريكية أو نحو ولايات قضائية أخرى. وكل منها يستوجب نموذج F118 أو توثيقا دقيقا للضمانات التعاقدية. واحتمال أن تكون مقاولة صغرى أو متوسطة متوسطة الحجم في وضعية مطابقة كاملة على مجموع منظومتها يقترب من الصفر.
ما نكتشفه ميدانيا في التدقيق
الانعكاس البيداغوجي هو الانطلاق من المنظومة التقنية. نطلب من مديرية النظم المعلوماتية اللائحة الشاملة لأدوات SaaS المستعملة في الإنتاج، ونقارنها مع التصاريح المودعة لدى اللجنة الوطنية. الفجوة دائما تكون مهمة. في إحدى المقاولات الصغرى والمتوسطة من قطاع التجارة بالتقسيط التي تم تدقيقها مؤخرا — مع إخفاء الهوية حسب القطاع، وفاء لقواعد الإخفاء القطاعي الصارم — كانت المنظومة تضم سبع عشرة أداة SaaS، منها أربع عشرة مستضافة خارج المغرب، ومنها إحدى عشرة خارج الاتحاد الأوروبي. عدد نماذج F118 المودعة: صفر. عدد اتفاقيات معالجة البيانات (DPA) الموقعة: ثلاث، اثنتان منها لخدمات SaaS تم التوقف عن استعمالها منذ سنتين. ليست هذه حالة قصوى، بل هي المعدل.
الاكتشاف الثاني النموذجي يخص المعالجين اللاحقين. حين تستعمل Google Workspace، فأنت تنقل إلى Google. وGoogle تكلف من الباطن شبكات توصيل المحتوى ومزودي التخزين الإقليمي وشركاء الأمن. هؤلاء المعالجون من الباطن علنيون — تذكرهم Google في وثائقها للمنتج المتاحة للجميع. غير أنه لا يتم استخراجهم وإدراجهم في ملف المطابقة. يظل التخريط سطحيا، في حين أن عمق التخريط هو بالضبط ما يميز المطابقة الحقيقية عن المطابقة الشكلية.
الأسس القانونية الثلاثة المتاحة
الترخيص الصريح عبر النموذج F118. هذا هو المسلك الملكي. نودع لدى اللجنة الوطنية ملفا يفصل الغاية من النقل، والدولة المستقبلة، والمزود، وأصناف البيانات، والتدابير الأمنية التعاقدية، ومدة الحفظ. تباشر اللجنة دراسة الملف، عادة بين شهرين وأربعة أشهر بالنسبة لملف اعتيادي. ويصبح الوصل القطعة الرئيسية الواجب إبرازها في حال المراقبة.
البنود التعاقدية النموذجية (SCC). يقترح كبار المزودين — Google وMicrosoft وAmazon وSalesforce وHubSpot — منذ سنوات اتفاقية معالجة بيانات (DPA) تتضمن بنودا تعاقدية نموذجية متماشية مع تلك المعتمدة من قبل المفوضية الأوروبية في 2021. هذه البنود، حين يتم تبنيها صراحة من قبل مؤسستك (توقيع، أرشفة، قابلية للتتبع)، تشكل ضمانة قانونية معترفا بها من قبل مذهب اللجنة الوطنية، في حدود تطور هذا المذهب. راجع المداولات المنشورة على cndp.ma للموقف الحالي. وللمذهب الأوروبي المقارن، توفر توصيات المجلس الأوروبي لحماية البيانات (EDPB) بشأن النقل الدولي للبيانات مرجعا مفيدا: edpb.europa.eu.
الاستثناءات. ينص القانون على استثناءات محدودة: الموافقة الصريحة للشخص المعني بالنسبة لنقل عرضي، تنفيذ عقد ينطوي بالضرورة على النقل، باعث المصلحة العامة. هذه الاستثناءات تخضع لتأويل ضيق ولا تغطي الاستعمال الاعتيادي لخدمات SaaS. ليست هذه الاستثناءات حلا للحكامة، بل هي مجرد باب طوارئ للحالات الظرفية.
التخريط الأدنى الواجب إنجازه
إذا أردت التقدم دون الالتزام بعد بتدقيق كامل، فهذه هي المصفوفة الأساسية الواجب ملؤها. تكفي ورقة Excel بسيطة، وستجعلك تربح وقتا معتبرا في اليوم الذي تنطلق فيه فعليا.
| الأداة | الغاية | البيانات المعالجة | الاستضافة | المزود (المقر) | F118؟ | DPA موقعة؟ | المعالجون من الباطن مسترجعون؟ |
|---|---|---|---|---|---|---|---|
| Google Workspace | أعمال مكتبية، بريد إلكتروني | جميع التواصلات مع الموارد البشرية والعملاء وداخليا | الاتحاد الأوروبي (حسب الإعدادات) + الولايات المتحدة | Google LLC (الولايات المتحدة) | للإيداع | نعم منذ 202X | للاسترجاع |
| Microsoft 365 | أعمال مكتبية، Teams | نفس الشيء | الاتحاد الأوروبي + الولايات المتحدة | Microsoft Corp (الولايات المتحدة) | للإيداع | للتحقق | للاسترجاع |
| Salesforce | إدارة العلاقة مع العملاء | بيانات المرتقبين والعملاء والفرص | الاتحاد الأوروبي / الولايات المتحدة | Salesforce.com (الولايات المتحدة) | للإيداع | للتحقق | للاسترجاع |
| HubSpot | أتمتة التسويق | بيانات المرتقبين، سلوك الموقع | الولايات المتحدة | HubSpot Inc (الولايات المتحدة) | للإيداع | للتحقق | للاسترجاع |
هذه المصفوفة ليست منتجا نهائيا للتدقيق، بل هي نقطة انطلاق. غير أنها تكشف عادة عن مشاكل أكثر مما تخفي.
التوقيت — الاستباق لا رد الفعل
دراسة نموذج F118 أقل طولا من F112 لكن أطول من F211. احتسب شهرين إلى أربعة أشهر بالنسبة لملف اعتيادي بدون تعقيد خاص. أكثر من ذلك، إذا كانت الدولة المستقبلة غير اعتيادية أو إذا كان المزود ضعيف التوثيق. النتيجة العملية: كل تغيير في المنظومة ينطوي على نقل دولي يجب التخطيط له ستة أشهر على الأقل مسبقا. الانتقال من نظام إدارة علاقة العملاء A إلى نظام إدارة علاقة العملاء B مع تشغيل مرتقب في أبريل، يعني ملف F118 يودع في أكتوبر من السنة السابقة.
خلال الدراسة، خلافا للنموذج F211، استعمال خدمة SaaS ليس مرخصا به تلقائيا. الممارسة الشائعة تتمثل في الاستناد إلى البنود التعاقدية النموذجية (SCC) للمزود في انتظار الوصل، مع توثيق هذا الترابط في السجل الداخلي وفي سياسة الخصوصية. هذه منطقة رمادية براغماتية قابلة للدفاع عنها، لكنها تستحق المعالجة الصريحة.
ما العمل إذا اكتشفت عدم مطابقتك
ثلاثة مبادئ بسيطة منبثقة من الممارسة:
أولا، عدم الارتباك. أنت في وضعية شائعة جدا. التسوية التلقائية تعامل أحسن من الاكتشاف عبر المراقبة.
ثانيا، الترتيب حسب الحرجية. خدمات SaaS التي تعالج بيانات ضخمة أو حساسة تأتي قبل تلك التي تستضيف رسالة إخبارية لثلاثين مشتركا. مقاربة براغماتية: البداية بأهم ثلاث خدمات SaaS هيكلية (في العادة الأعمال المكتبية، إدارة العلاقة مع العملاء، الاستضافة)، إيداع نماذج F118 الخاصة بها معا، ثم التوسع لاحقا.
ثالثا، التوثيق. كون أنك تخرط عمليات النقل، تكون ملفاتك، تسوي وضعيتك داخل أجل معقول، هو في ذاته إشارة عناية — قابلة للاحتجاج بها أمام المراقب. السيناريو الأسوأ ليس أن تكون في عدم مطابقة؛ بل أن تكون في عدم مطابقة دون أن تكون قد شرعت في التسوية بعد الوعي بها.
للتعمق أكثر
- الموقع الرسمي للجنة الوطنية — مداولات بشأن النقل الدولي للبيانات
- المجلس الأوروبي لحماية البيانات (EDPB) — توصيات بشأن النقل بعد قضية شريمز الثانية (Schrems II)
- اللجنة الوطنية الفرنسية للمعلوماتية والحريات (CNIL) — دليل عملي بخصوص النقل خارج الاتحاد الأوروبي
- الدليل المرجعي — المطابقة مع اللجنة الوطنية بالمغرب 2026
- اللائحة العامة لحماية البيانات (GDPR) مقابل القانون 09-08 — مقارنة قانونية
- الخدمة — الإجراءات الشكلية للجنة الوطنية جاهزة
في صفحات Médias24 وL'Économiste، شهدنا خلال السنوات الأخيرة تكاثر التحليلات حول السيادة الرقمية المغربية — وهو موضوع يتقاطع مباشرة مع مسألة النقل الدولي للبيانات. التوجه السياسي واضح: إبراز طبقة محلية للتخزين والمعالجة، وتأطير عمليات النقل بشكل أفضل. التوجه العملي يبقى نفسه: ما دامت خدمات SaaS الأمريكية في الاستعمال، فإننا نوثق. النموذج F118 ليس نزوة إدارية، بل هو الأداة الاعتيادية لهذا التوثيق.
كريم ب. — مستشار في مطابقة اللجنة الوطنية، مساهم في DataSouv. تمت مراجعة المقال والمصادقة عليه من قبل أمين رايس، المؤسس.
أسئلة شائعة
هل تستوجب جميع خدمات SaaS الأمريكية إيداع نموذج F118؟
في الجوهر نعم، متى كانت تعالج بيانات شخصية لحساب مسؤول عن المعالجة مغربي وكانت هذه المعالجة تنطوي على تخزين أو ولوج انطلاقا من الولايات المتحدة الأمريكية أو دول أخرى لا تتوفر على مستوى حماية كاف معترف به من قبل اللجنة الوطنية. بعض المزودين يقترحون استضافة أوروبية صريحة مع بنود تعاقدية نموذجية تغطي عملية النقل؛ في هذه الحالة، قد يكفي توثيق البنود التعاقدية النموذجية (SCC) وفق المذهب الجاري به العمل.
ماذا يقع إذا استعملت Google Workspace دون نموذج F118؟
أنت تقوم بنقل دولي غير مرخص. في غياب أي شكاية أو مراقبة، لا يقع شيء ظاهر. وفي حالة المراقبة أو الإبلاغ، يتعلق الأمر بإخلال مميز قد يفضي إلى إعذار وفي الحالات الجسيمة إلى عقوبات. علاوة على ذلك، أصبح هذا الأمر بشكل متزايد نقطة عرقلة في طلبات العروض وفي عمليات التدقيق المسبق للاندماج والاستحواذ وفي الشراكات مع المجموعات الأوروبية.
ما هي كلفة نموذج F118؟
الإيداع لدى اللجنة الوطنية مجاني. الكلفة هي كلفة الخدمة: تخريط عمليات النقل، توصيف المزودين، توثيق البنود التعاقدية النموذجية (SCC)، تكوين الملف. على سبيل الاسترشاد، احتسب من 8000 درهم لنموذج F118 بسيط. أما بالنسبة للمنظمات متعددة الخدمات السحابية، فإن الباقة المجمعة أكثر ملاءمة.
هل تكفي البنود التعاقدية النموذجية التي يقدمها Google أو Microsoft بشكل افتراضي؟
يقترح كبار الناشرين بنودا تعاقدية نموذجية متماشية مع المعايير الأوروبية. وتشكل هذه البنود قاعدة صلبة، غير أنه يجب أن تتبناها مؤسستك تبنيا صريحا، وتؤرشف بتاريخ وموقع، وتستكمل بتقييم أثر النقل (TIA) إذا كنت معرضا للائحة العامة لحماية البيانات (GDPR). وامتلاكها دون توقيعها فعليا لا يساوي قانونيا الشيء الكثير.
وماذا عن المعالجين اللاحقين (المعالجين من الباطن)؟
كل معالج لاحق — كشبكات توصيل المحتوى ومعالجي الأداء وخدمات المصادقة المستعملة من قبل خدمة SaaS الرئيسية — يجب أن يكون متتبعا. ينشر كبار الناشرين قائمة معالجيهم من الباطن. الانعكاس السليم: استخراج هذه القائمة، إدراجها ضمن الملف، والاشتراك في إشعارات التغيير. بدون ذلك، يكون التخريط ناقصا.