اللائحة العامة لحماية البيانات (GDPR) مقابل القانون 09-08 — مقارنة مادة بمادة
الإطاران متقاربان في المبادئ ولكنهما يتباعدان بعمق في الإجراءات. تراكمي وليس حصري: يجب الالتزام بالأكثر تشدداً من بين الإطارين بالنسبة لكل عملية معالجة.
يُعد القانون 09-08 المغربي واللائحة العامة لحماية البيانات (GDPR) الأوروبية إطارين قانونيين لحماية البيانات الشخصية متقاربين في المبادئ ولكن مختلفين جذرياً في الإجراءات. كل مؤسسة مغربية ذات تعرض دولي — فرع لمجموعة أوروبية، تجارة إلكترونية تصدّر إلى أوروبا، مقدم خدمات لزبناء أوروبيين، مستخدم مكثف لخدمات SaaS أمريكية — مطالبة بالتوفيق بين الإطارين.
يقارن هذا الدليل بين النصين مادة بمادة ويحدد ما يجب القيام به ملموساً حين يكون المرء خاضعاً للاثنين معاً.
1. التاريخ والبنية
| القانون 09-08 (المغرب) | GDPR (الاتحاد الأوروبي) | |
|---|---|---|
| الإصدار | 2009 | 2016 |
| دخول حيز التنفيذ | 2009 | 25 ماي 2018 |
| النص التطبيقي | المرسوم 2-09-165 (2009) | قابل للتطبيق مباشرة |
| سلطة الرقابة | اللجنة الوطنية لحماية المعطيات ذات الطابع الشخصي (الرباط) | سلطة وطنية لكل دولة (CNIL في فرنسا، DPC في إيرلندا، إلخ) + المجلس الأوروبي لحماية البيانات (EDPB) على المستوى الأوروبي |
| المنطق العام | تصريح مسبق إلزامي | المساءلة + سجل داخلي |
| الطبيعة | قانون وطني | لائحة أوروبية (أثر مباشر) |
تتأخر اللائحة GDPR بـ 15 سنة عن القانون 09-08، وهو ما قد يبدو مفاجئاً — غير أن هذا التأخر يعود إلى الدورة التشريعية الأوروبية. ومنذ عدة سنوات، يُنتظر إصلاح للقانون 09-08 لتقريب الإطار المغربي من اللائحة GDPR، دون تاريخ رسمي حاسم لحد الآن.
2. نطاق التطبيق
2.1 التطبيق الإقليمي
- القانون 09-08: يسري على عمليات المعالجة المنجزة بالمغرب، وعلى عمليات المعالجة المنجزة من الخارج باستعمال وسائل موجودة بالمغرب، وعلى عمليات المعالجة الموجهة لأشخاص بالمغرب.
- GDPR: ذات أثر خارج إقليمي. تسري على كل معالجة لبيانات أشخاص موجودين بالاتحاد الأوروبي، بصرف النظر عن مقر المؤسسة.
عملياً: موقع مغربي يبيع لزبناء أوروبيين خاضع للإطارين. موقع أوروبي يجمع سيرات ذاتية من مرشحين مغاربة خاضع للإطارين. الخضوع المزدوج متكرر.
2.2 التطبيق المادي
شبه متطابق: يسري النصان على كل معالجة للبيانات الشخصية، آلية كانت أو يدوية مدمجة في ملف منظم. تعريفا «المعطى الشخصي» و«المعالجة» متقاربان جداً.
3. الإجراءات الشكلية الإدارية — الفرق الكبير
هذه هي النقطة الأكثر تشغيلاً للتباين.
3.1 القانون 09-08 — تصريح مسبق منهجي
يجب أن تكون كل عملية معالجة موضوع تصريح مسبق لدى اللجنة الوطنية عبر النماذج F211 (تصريح عادي)، F214 (تصريح مبسط)، F112 (ترخيص مسبق)، F113 (ترخيص مبسط)، F118 (نقل دولي). تسلّم اللجنة وصلاً يجب عرضه علناً.
إنه نظام قبلي: نصرّح قبل المعالجة.
3.2 GDPR — المساءلة وسجل داخلي
لا يوجد تصريح مسبق إلزامي. عوض ذلك:
- سجل عمليات المعالجة يُمسك داخلياً (المادة 30 من اللائحة GDPR)
- تقييم أثر حماية البيانات (DPIA) بالنسبة لعمليات المعالجة ذات الخطورة العالية (المادة 35)
- إخطار السلطة فقط في حالة الاختراق (المادة 33)
إنه نظام بعدي: نوثّق ونتحمل امتثالنا، وتتدخل الرقابة بناءً على إبلاغ أو تدقيق.
3.3 الجمع بالنسبة للخاضعين للإطارين
على المؤسسة المغربية الخاضعة للائحة GDPR أن تجمع بين:
- التصاريح لدى اللجنة الوطنية (النماذج F211، F214، F112، F113، F118)
- السجل الداخلي للائحة GDPR
- تقييم أثر حماية البيانات (DPIA) عند الاقتضاء
- الإخطار لدى اللجنة الوطنية و الإخطار لدى CNIL (أو غيرها) في حالة الاختراق
4. المبادئ الأساسية — متقاربة
يتقاسم النصان المبادئ الأساسية:
| المبدأ | القانون 09-08 | GDPR |
|---|---|---|
| المشروعية | المادة 4 | المادة 6 |
| الغرض المحدد | المادة 3 | المادة 5(1)(b) |
| التناسب (التقليل من البيانات) | المادة 3 | المادة 5(1)(c) |
| الجودة (الدقة) | المادة 3 | المادة 5(1)(d) |
| تحديد مدة الحفظ | المادة 3 | المادة 5(1)(e) |
| الأمن | المادة 23 | المادة 5(1)(f) و المادة 32 |
يكمن الفارق في العمق: اللائحة GDPR أكثر دقة في الإجراءات (مثلاً «privacy by design» في المادة 25 من GDPR، قليل التفصيل في القانون 09-08).
5. حقوق الأشخاص المعنيين
5.1 الحقوق المشتركة
| الحق | القانون 09-08 | GDPR |
|---|---|---|
| الولوج | المادة 7 | المادة 15 |
| التصحيح | المادة 8 | المادة 16 |
| المعارضة (لسبب مشروع) | المادة 9 | المادة 21 |
| الحذف | المادة 11 (حالات محدودة) | المادة 17 (حق النسيان أوسع) |
5.2 حقوق خاصة باللائحة GDPR
تضيف اللائحة GDPR حقوقاً غير منصوص عليها صراحةً في القانون 09-08:
- الحق في نقل البيانات (المادة 20): استرجاع بياناتك في صيغة منظمة قابلة للقراءة آلياً، ونقلها إلى مسؤول معالجة آخر
- الحق في النسيان المعزز (المادة 17): الحذف في حالات أوسع
- الحق في عدم الخضوع لقرار آلي (المادة 22)
- الحق في التقييد (المادة 18): تجميد المعالجة بدل حذفها
بالنسبة للمؤسسات الخاضعة للإطارين، فإن تقديم هذه الحقوق الإضافية ممارسة جيدة حتى ولو لم يفرضها القانون 09-08 صراحة.
6. مفوض حماية البيانات (DPO) — التزام مختلف
- القانون 09-08: لا يوجد التزام عام بتعيين مفوض حماية البيانات (DPO). يُوصى به للهياكل التي تعالج بيانات حساسة أو على نطاق واسع.
- GDPR (المادة 37): مفوض حماية البيانات (DPO) إلزامي في ثلاث حالات — معالجة من طرف سلطة عمومية، متابعة منتظمة ومنهجية على نطاق واسع، معالجة على نطاق واسع لبيانات حساسة.
وبالتالي، فإن فرعاً مغربياً لمجموعة أوروبية يعالج على نطاق واسع يجب أن يتوفر على مفوض حماية بيانات إلزامي بمفهوم اللائحة GDPR، يُعيَّن إما داخلياً أو في مهمة خارجية.
7. النقل الدولي للبيانات — منطقان متباعدان
7.1 القانون 09-08
يخضع نقل البيانات خارج المغرب لترخيص مسبق من اللجنة الوطنية عبر F118، إلا إذا:
- كان البلد المستقبل يوفر مستوى حماية كافياً تعترف به اللجنة الوطنية
- كان النقل مؤطراً بـ ضمانات تعاقدية كافية (SCC، BCR)
7.2 GDPR
يخضع النقل خارج الاتحاد الأوروبي/المنطقة الاقتصادية الأوروبية لـ:
- قرار ملاءمة من المفوضية الأوروبية (المملكة المتحدة، اليابان، كندا التجارية، إلخ)
- وإلا، ضمانات ملائمة (SCC، BCR، شهادة، مدونة سلوك)
- وإلا، استثناءات خاصة (موافقة صريحة، تنفيذ عقد، إلخ)
7.3 حالة عملية: استعمال Google Workspace بالمغرب
- القانون 09-08: F118 للإيداع للترخيص بنقل البيانات نحو مراكز بيانات Google خارج المغرب، مع SCC موثقة
- GDPR: SCC مع Google (مقدمة افتراضياً)، تقييم أثر النقل (Transfer Impact Assessment) عند الاقتضاء
تستعمل العديد من المؤسسات المغربية Google Workspace دون أن تكون قد أودعت F118 ولا وثّقت SCC. وهذا من بين أبرز الإخلالات النسقية في السوق.
8. العقوبات
8.1 القانون 09-08
- الإنذار، الإعذار، سحب الترخيص
- عقوبات جنائية: عقوبات سجنية وغرامات حسب طبيعة الإخلال
- يُنتظر إصلاح للمواءمة مع المعايير الدولية
8.2 GDPR
- غرامات إدارية تصل إلى 4% من رقم المعاملات السنوي العالمي أو 20 مليون أورو (الأعلى)
- سلطة تحقيق واسعة لسلطة الرقابة
- عقوبات جنائية تكميلية ممكنة حسب التشريعات الوطنية
الفارق في الشدة المالية مهم. على المؤسسة الكبرى الخاضعة للائحة GDPR أن تعتبر مخاطر GDPR ذات أولوية من حيث التأثير المالي المحتمل.
9. الإخطار بالاختراق البياناتي
- القانون 09-08: لا يوجد التزام صريح. توصية قوية بإخطار اللجنة الوطنية في حالة حادث ذي دلالة، وفق منطق حسن النية.
- GDPR (المادتان 33-34): التزام بإخطار السلطة خلال 72 ساعة (إلا إذا كانت المخاطر على الأشخاص ضعيفة)، وبإخطار الأشخاص المعنيين إذا كانت المخاطر عالية.
بالنسبة لمؤسسة خاضعة للإطارين، يجب أن يكون مسطر الإخطار جاهزاً بقوالب وقنوات محددة.
10. الاستراتيجية العملية لمؤسسة مغربية متعرضة
10.1 إنجاز الجذع المشترك
- سياسة خصوصية محلية تشير إلى الإطارين معاً
- سجل داخلي لعمليات المعالجة (GDPR) + التصاريح لدى اللجنة الوطنية (القانون 09-08)
- اتفاقيات معالجة البيانات (DPA) موقعة مع جميع المعالجين
- تدابير أمنية تقنية بمستوى GDPR (تستجيب ميكانيكياً للمادة 23 من القانون 09-08)
- مسطر تدبير الحقوق يغطي جميع حقوق GDPR (التي تغطي ميكانيكياً حقوق القانون 09-08)
10.2 إضافة الخصوصيات
- F211/F112/F118 بالنسبة للمغرب
- مفوض حماية البيانات (DPO) بمفهوم GDPR إذا تم بلوغ العتبات
- تقييم أثر حماية البيانات (DPIA) لعمليات المعالجة ذات الخطورة العالية
- مسطر الإخطار خلال 72 ساعة في حالة الاختراق
10.3 توثيق الامتثال المزدوج
إن التوفر على ملف امتثال موحد يذكر الإطارين يطمئن المدققين والزبناء والشركاء الأوروبيين والسلطات. إشارة على النضج التنظيمي.
11. مراجع
- دليل عمودي — الامتثال للجنة الوطنية لحماية المعطيات بالمغرب 2026
- F211 — دليل الاستعمال
- وصل اللجنة الوطنية — الأجل والمسطرة
- خدمة — تدقيق الامتثال للجنة الوطنية (يغطي GDPR عند الاقتضاء)
- الموقع الرسمي للجنة الوطنية
- الموقع الرسمي لـ CNIL — GDPR
تراكمي وليس حصري. القاعدة الذهبية للمؤسسات المغربية المتعرضة: تطبيق الأكثر تشدداً من بين الإطارين لكل عملية معالجة. يختفي التعقيد الظاهر بمجرد تقبل هذا المنطق: نوثّق مرة واحدة، نحترم الاثنين. وهذا هو النهج الذي نطبقه بشكل ممنهج في DataSouv بالنسبة لفروع المجموعات الأوروبية والمصدّرين المغاربة.
هشام ع. — متخصص في اللجنة الوطنية واللائحة العامة لحماية البيانات (GDPR)، مساهم في DataSouv. مقال راجعه وصادق عليه أمين رايس، المؤسس.
أسئلة شائعة
إذا التزمت باللائحة العامة لحماية البيانات (GDPR)، هل أكون تلقائياً ممتثلاً للقانون 09-08؟
لا. تغطي اللائحة العامة لحماية البيانات (GDPR) المبادئ ومعظم الحقوق، لكن القانون 09-08 يضيف التزامات شكلية خاصة بالمغرب: التصريح المسبق المنهجي (F211/F112)، النماذج المعيارية للجنة الوطنية، الترخيص المسبق لعمليات النقل (F118)، ووضع الوصل في مكان عام. هذه الالتزامات الإدارية لا يمكن تعويضها بالامتثال للائحة GDPR وحدها.
والعكس صحيح — إذا كنت ممتثلاً للقانون 09-08، هل أكون ممتثلاً للائحة GDPR؟
ليس كذلك أيضاً. تفرض اللائحة العامة لحماية البيانات (GDPR) التزامات لا ينص عليها القانون 09-08 صراحةً: الإخطار بالاختراق خلال 72 ساعة، الحق في نقل البيانات، الحق في النسيان، تعيين مفوض حماية البيانات (DPO) في حالات معينة، عقوبات مالية ثقيلة. على المؤسسة الخاضعة للإطارين أن تطبق الأكثر تشدداً من بينهما لكل عملية معالجة.
هل موقعي المغربي الموجه للزبناء المغاربة معني باللائحة GDPR؟
إذا كنت تعالج فقط بيانات أشخاص مقيمين في المغرب ولا تقدم سلعاً/خدمات لأشخاص في الاتحاد الأوروبي، فإن اللائحة GDPR لا تنطبق مباشرة. غير أنه بمجرد وجود زائر أو زبون أوروبي، أو تصدير نحو الاتحاد الأوروبي، أو معالج بياناتي مقيم في الاتحاد الأوروبي، يدخل المفعول خارج الإقليمي للائحة GDPR حيز التطبيق. في 2026، قليل من المواقع المهنية تنجو كلياً من هذا التعرض.
ما هي أوراش الامتثال المشتركة؟
سياسة خصوصية واضحة ومحلية، إشعارات عند نقطة الجمع، سجل عمليات المعالجة، اتفاقيات معالجة البيانات (DPA) مع المعالجين، تدابير أمنية تقنية (TLS، HSTS، ترويسات HTTP)، إجراء لتدبير الحقوق، تكوين الفرق. هذه الأوراش متطابقة تقريباً بالنسبة للإطارين وتشكل الجذع المشترك لأي مسار امتثال جدي.